Czy zgodnie z RODO można powierzyć przetwarzanie danych bez umowy

Paweł Biały

Autor: Paweł Biały

Dodano: 5 marca 2018
Czy zgodnie z RODO można powierzyć przetwarzanie danych bez umowy

O 25 maja 2018 r. zaczniemy w praktyce stosować ogólne rozporządzenie o ochronie danych (RODO). Wśród wielu obowiązków nakładanych na administratora danych ustawodawca unijny przewidział nową podstawę prawną powierzenia przetwarzania danych osobowych, wskazując – obok umowy powierzenia – na „inny instrument prawny”. Dowiedz się, czym jest inny instrument prawny i którzy administratorzy będą mogli z niego skorzystać.

Najczęściej z powierzeniem przetwarzania danych osobowych można się spotkać w sytuacji, kiedy administrator danych, korzysta z usług podmiotów zewnętrznych. Mowa o outsourcingu usług. W praktyce istota tej formy współpracy sprowadza się do podnajęcia podmiotu zewnętrznego do wykonywania określonych usług zleconych zamiast zatrudniania do wykonania tych czynności pracownika. Jako przykład można podać usługi kadrowe, płacowe, prawnicze, informatyczne, marketingowe, bhp czy ochrony mienia i osób.

Administratorzy danych podpisują zatem z podmiotem zewnętrznym umowę o współpracy, w ramach której często zobowiązują się do przekazywania podmiotowi zewnętrznemu wszelkich informacji niezbędnych do prawidłowego realizowania postanowień zawartej umowy, a w tym danych osobowych – co jest istotą outsourcingu np. kadrowego. Niestety, podpisanie samej umowy o współpracy nie jest wystarczające, aby przekazanie danych osobowych, np. pracowników czy klientów, było legalne.

Dane osobowe i administrator według RODO

Zgodnie z art. 4 pkt 1 RODO dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Dalej RODO tłumaczy, że osoba fizyczna możliwa do zidentyfikowania to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie takiego identyfikatora jak:

  • imię i nazwisko,
  • numer identyfikacyjny,
  • dane o lokalizacji,
  • identyfikator internetowy lub
  • jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.   

W konsekwencji za dane osobowe uznawane są takie komunikaty czy też wiadomości, które dostarczają zindywidualizowanej wiedzy o danym człowieku. Identyfikacja z kolei to zespół określonych informacji, czynników identyfikacyjnych, które szczególnie wiążą się z konkretną osobą, przez które może dojść do jej rozpoznania, czyli ustalenia tożsamości. Zgodnie z prawem ochrony danych osobowych administratorem danych jest każdy podmiot, który decyduje o środkach i celach przetwarzania danych osobowych. Na gruncie ogólnego rozporządzenia o ochronie danych można też mówić o współadministratorze danych osobowych.

Ważne:

Administrator danych, zamierzając przekazać dane osobowe (wobec których samodzielnie lub wspólnie z innymi podmiotami ustala sposoby i cele ich przetwarzania) podmiotowi zewnętrznemu, który będzie świadczył na jego rzecz np. outsourcing usług, musi tego dokonać w odpowiedniej formie prawnej.

Do 25 maja 2018 r. powierzenie przetwarzania danych osobowych powinno odbywać się na podstawie wciąż obowiązującej ustawy o ochronie danych osobowych. Powierzenie danych oparte jest na dwustronnym stosunku prawnym, na mocy którego następuje przekazanie danych osobowych. W wyniku powierzenia danych administrator nie traci kontroli nad danymi, ponieważ nadal decyduje o środkach i celach ich przetwarzania.

Z kolei procesor (podmiot, któremu powierzono dane osobowe), przetwarzając powierzone dane osobowe, nie staje się ich administratorem. Odpowiedzialność procesora jest przy tym analogiczna do odpowiedzialności administratora danych osobowych. Ustawa nie określa wymaganych elementów umowy powierzenia przetwarzania danych, niemniej powinna być zawarta w formie pisemnej. Niezachowanie tej formy powoduje niespełnienie przesłanki określonej w art. 31 ustawy o ochronie danych osobowych.  

Co zmieni RODO w powierzeniu przetwarzania danych osobowych

Ogólne rozporządzenie o ochronie danych reguluje powierzenie przetwarzania danych osobowych w art. 28. Zgodnie z nim, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą, np. pracowników lub klientów. Jednocześnie podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora.

Ważne:

Ogólne rozporządzenie o ochronie danych jednoznacznie precyzuje, kto może być procesorem, tj. podmiotem przetwarzającym dane osobowe. Podmiotem przetwarzającym dane jest zatem:

  • osoba fizyczna lub prawna,
  • organ publiczny,
  • jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Powierzenie przetwarzania danych osobowych, zgodnie z zasadami ogólnego rozporządzenia o ochronie danych, musi przyjąć formę umowy lub innego instrumentu prawnego (który podlega prawu Unii Europejskiej lub prawu państwa członkowskiego i wiąże podmiot przetwarzający z administratorem). Taka umowa lub inny instrument prawny musi określać:

  • przedmiot i czas trwania przetwarzania,
  • charakter i cel przetwarzania,
  • rodzaj danych osobowych oraz kategorie osób, których dane dotyczą,
  • obowiązki i prawa administratora.

Ponadto umowa lub inny instrument prawny muszą regulować w szczególności, że procesor:

  • będzie przetwarzał dane osobowe wyłącznie na podstawie udokumentowanego polecenia administratora,
  • zapewni zachowanie tajemnicy przetwarzanych danych osobowych,
  • zagwarantuje odpowiednie bezpieczeństwo ich przetwarzania,
  • udzieli pomocy administratorowi w wypełnianiu jego obowiązków względem osoby, której dane dotyczą, lub Prezesa Urzędu Ochrony Danych Osobowych oraz
  • usunie lub zwróci dane po zakończeniu ich przetwarzania.

Jeżeli podmiot przetwarzający będzie chciał skorzystać z usług innego procesora, będzie musiał uzyskać na to uprzednią – szczegółową lub ogólną – zgodę administratora.

Czym jest „inny instrument prawny”

Pojęcie „inny instrument prawny” nie jest wprost uregulowane przez ogólne rozporządzenie o ochronie danych. W konsekwencji rozumienie tego wyrażenia należy interpretować zgodnie z dostępnymi zasadami wykładni oraz praktyki z dziedziny ochrony danych osobowych. Jak twierdzą niektórzy przedstawiciele doktryny, „inny instrument prawny” dotyczy w szczególności relacji prawnych pomiędzy podmiotami ze sfery prawa publicznego, tj. organów i podmiotów publicznych.

WAŻNE

Ważne:

Przykładem powierzenia danych osobowych na podstawie innego instrumentu prawnego może być ich przekazanie na podstawie ustawy, rozporządzenia, aktu prawa miejscowego lub wewnętrznych regulacji prawnych grup kapitałowych.

Na gruncie obowiązującej ustawy o ochronie danych osobowych wielokrotnie można było spotkać się z praktycznym problemem współadministrowania danymi osobowymi. Ustawa o ochronie danych osobowych nie znała definicji współadministrowania danymi osobowymi, niemniej jednak na gruncie nauki prawnej twierdzono, że „o ile dany podmiot wspólnie (…) z innym podmiotem decyduje o celach i sposobach przetwarzania danych osobowych, to można wówczas mówić o współadministrowaniu danymi osobowymi przez te podmioty”. Tego typu przypadki najczęściej dotyczyły np. wspólnego rozliczania przez organy administracji publicznej środków unijnych.

Przykład ten koresponduje z koncepcją odnoszenia „innego instrumentu prawnego” do relacji prawnych pomiędzy organami a podmiotami publicznymi. To pomiędzy organami państwowymi lub organami samorządu terytorialnego można szukać relacji prawnoadministracyjnych opartych na instrumentach prawnych takich jak ustawy, rozporządzenia, akty prawa miejscowego itp., których istotą jest przekazanie określonemu organowi danych osobowych będących w posiadaniu innego organu administracji publicznej.

Uwaga

Możliwość powierzenia przetwarzania danych osobowych na podstawie innego instrumentu prawnego dotyczy w szczególności, a nie wyłącznie sfery prawa publicznego.

Kto będzie mógł skorzystać z „innego instrumentu prawnego”

„Inny instrument prawny” może dotyczyć sfery prawa prywatnego. Przykładem ilustrującym tego typu przypadek jest to, że dotychczas spółki wchodzące w skład grupy kapitałowej były traktowane jak osobni administratorzy danych. Dlatego też w relacjach pomiędzy nimi (pomimo formalnoprawnego statusu grupy kapitałowej) musiały zawierać umowy powierzenia.

Ogólne rozporządzenie o ochronie danych wychodzi naprzeciw tego typu przypadkom, wskazując na inny instrument prawny, gdy chodzi np. o wewnętrzne regulacje prawne grup kapitałowych. Często sformalizowane relacje prawne pomiędzy nimi zakładają konieczność przekazania sobie wzajemnie danych osobowych. Tak może być w przypadkach składania określonych raportów do centrali lub pomiędzy podmiotami tworzącymi tę grupę. W tym przypadku będzie mogło dojść do powierzenia przetwarzania danych osobowych na podstawie tych wewnętrznych regulacji prawnych. Jeśli spełnią one przesłanki art. 28 RODO, będą mogły mieć status „innego instrumentu prawnego”.

Paweł Biały

Autor: Paweł Biały

doktor nauk prawnych, prawnik praktyk, ekspert z zakresu prawa ochrony danych osobowych, administrator bezpieczeństwa informacji, prowadzi warsztaty i szkolenia, wykładowca akademicki, Instytut Ochrony Danych Osobowych

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl
Strona używa plików cookies. Korzystając ze strony użytkownik wyraża zgodę na używanie plików cookies.

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel