Poradnik Przedsiębiorcy

Powierzenie przetwarzania danych osobowych według RODO - zasady

Niemal każdy przedsiębiorca w toku swojej działalności korzysta z usług podmiotów trzecich, outsourcingując określone zadania. Niezależnie od tego, czy chodzi o firmy księgowe, agencje marketingowe, zewnętrznego inspektora ochrony danych osobowych czy informatyka budującego bazę danych na podstawie nadesłanych przez przedsiębiorcę informacji, przedsiębiorca udostępnia tym podmiotom przechowywane przez siebie dane osób fizycznych. Z uwagi na to, że podlegają one ścisłej ochronie, konieczne jest dopełnienie formalności związanych jakie nakłada powierzenie przetwarzania danych osobowych.

Wybór podmiotu przetwarzającego nie może być przypadkowy

Jeżeli przedsiębiorca-administrator danych korzysta z usług innego podmiotu, przekazując mu posiadane dane osobowe, dochodzi zazwyczaj do powierzenia przetwarzania tych danych. RODO nakłada na administratora obowiązek dochowania staranności przy wyborze podmiotów przetwarzających – administrator powinien wybrać takie, które:

 „zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom Rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania” (motyw 81 RODO).

Podmiotem przetwarzającym w rozumieniu przepisów RODO (przepis art. 4 pkt 8 rozporządzenia) jest każda osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Powierzenie przetwarzania danych osobowych wymaga dochowania procedury określonej przez przepisy RODO, przede wszystkim w kontekście konieczności zawarcia umowy o powierzenie przetwarzania, szczegółowo określającej obowiązki nałożone na podmiot przetwarzający (o czym poniżej). Nie w każdym przypadku jednakże dojdzie do powierzenia przetwarzania, nawet jeżeli w przetwarzaniu danych będzie uczestniczyło więcej podmiotów – jeśli dwa podmioty wspólnie decydują o celach i zakresie przetwarzania danych (na przykład w ramach wspólnie prowadzonego projektu), dojdzie do współadministrowania. W takiej sytuacji dwa podmioty będą współadministratorami danych i nie będzie zachodziła konieczność zawierania umowy o powierzeniu przetwarzania danych. Współadministratorzy będą musieli zawrzeć odrębną umowę, opierając się na przepisie art. 26 RODO, w której zawrą uzgodnienia dotyczące zakresu swojej odpowiedzialności związanej z wypełnianiem obowiązków na podstawie przepisów RODO.

Powierzenie przetwarzania danych osobowych podlega wymogom RODO

Rozporządzenie wymaga, aby powierzenie przetwarzania danych osobowych odbywało się na podstawie umowy zawieranej pomiędzy administratorem danych a podmiotem przetwarzającym. W praktyce umowa ta może stanowić załącznik do umowy zawieranej pomiędzy tymi podmiotami a regulującej zasady ich współpracy.

Umowa musi określać:

  • przedmiot przetwarzania (tj. dokładne wskazanie, jakie dane są przetwarzane na podstawie umowy głównej zawartej pomiędzy stronami);

  • czas trwania przetwarzania (okres przetwarzania będzie wynikał przede wszystkim z umowy głównej regulującej stosunki pomiędzy stronami);

  • charakter i cel przetwarzania;

  • rodzaj danych osobowych;

  • kategorie osób, których dotyczą przetwarzane dane;

  • obowiązki i prawa administratora.

Umowa o powierzeniu przetwarzania powinna mieć formę pisemną. RODO dopuszcza również możliwość zawarcia umowy w formie elektronicznej.
Najważniejszą częścią umowy będą obowiązki nałożone na podmiot przetwarzający. Zgodnie z przepisem art. 28 RODO umowa o powierzenie przetwarzania powinna określać, że podmiot przetwarzający:

  1. przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający;

  2. zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

  3. podejmuje odpowiednie środki zabezpieczające dane (zgodnie z art. 32 RODO – „przepis ten wskazuje środki techniczne i organizacyjne pozwalające na dostosowanie poziomu zabezpieczeń do istniejącego ryzyka, na przykład poprzez zastosowanie pseudonimizacji czy szyfrowania danych osobowych”);

  4. przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, według przepisów o podmiocie przetwarzającym;

  5. biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO (rozdział III rozporządzenia określa prawa osób fizycznych, których dane dotyczą);

  6. uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO (tj. przepisów nakładających na administratora obowiązek zapewnienia bezpieczeństwa danych osobowych poprzez zastosowanie odpowiednich środków technicznych oraz organizacyjnych, obowiązek zgłaszania naruszeń ochrony danych do organu nadzorczego oraz obowiązek przeprowadzania oceny skutków dla ochrony);

  7. po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;

  8. udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich;

  9. niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

Jeżeli podmiot przetwarzający przy wykonywaniu swoich działań chce korzystać z usług podwykonawcy (tzw. inny podmiot przetwarzający), musi uzyskać zgodę administratora danych. Może być ona szczegółowa (w odniesieniu do konkretnego podwykonawcy) albo ogólna. Na podwykonawcy ciążą takie same obowiązki ochrony danych jak te wskazane w umowie zawartej pomiędzy administratorem danych a pierwotnym podmiotem przetwarzającym. Odpowiedzialność względem administratora danych ponosi wyłącznie pierwotny podmiot przetwarzający, nawet jeżeli to podwykonawca nie wywiąże się ze swoich obowiązków.
Warto pamiętać, że przywołane powyżej wyliczenie nie stanowi katalogu zamkniętego. W zależności od potrzeb strony umowy mogą uzupełnić jej treść o dodatkowe postanowienia, na przykład dotyczące zasad ponoszenia odpowiedzialności za uchybienia związane z przetwarzaniem powierzonych danych, przeprowadzania audytów prowadzonego przetwarzania danych przez administratora danych względem podmiotu przetwarzającego czy regulacjami dotyczącymi kar umownych.

Brak umowy jest podstawą do nałożenia kary

Choć zasady odpowiedzialności pomiędzy administratorem danych a podmiotem przetwarzającym strony mogą uregulować w zasadzie dowolnie w umowie o powierzeniu przetwarzania, ostateczną odpowiedzialność za nieprawidłowości związane z powierzeniem przetwarzania będzie ponosił administrator danych. Brak umowy o powierzeniu przetwarzania – w sytuacji, gdy do faktycznego powierzenia dochodzi i podmiot trzeci przetwarza dane osobowe udostępnione przez administratora danych – również będzie rodził konsekwencje. Nieprawidłowości związane z powierzeniem przetwarzania danych osobowych mogą skutkować zarówno nałożeniem kar administracyjnych przez Prezesa Urzędu Ochrony Danych Osobowych, jak i odpowiedzialnością cywilnoprawną względem osoby, której dane zostały nieprawidłowo przetwarzane przez podmiot przetwarzający.

Z uwagi na powyższe w celu zminimalizowania swojej odpowiedzialności administrator danych winien zapewnić sobie realną możliwość kontroli sposobu przetwarzania powierzonych danych przez podmiot przetwarzający.