Powierzenie przetwarzania danych wrażliwych – czy to zgodnie z przepisami

Agnieszka Kręcisz-Sarna

Autor: Agnieszka Kręcisz-Sarna

Dodano: 14 sierpnia 2017
Dokument archiwalny
Powierzenie przetwarzania danych wrażliwych – czy to zgodnie z przepisami
Pytanie:  Zamierzamy podpisać umowę powierzenia przetwarzania danych osobowych z obsługującym naszą firmę podmiotem zewnętrznym. Na jej mocy zyska on dostęp także do danych osobowych wrażliwych. Czy w takiej sytuacji możemy podpisać umowę powierzenia? Czy ustawa o ochronie danych osobowych zakazuje powierzenia danych wrażliwych?
Odpowiedź: 

Przepisy ustawy o ochronie danych osobowych nie zawierają żadnych zastrzeżeń odnośnie do możliwości powierzenia do przetwarzania danych wrażliwych. Nie różnicują także sytuacji administratorów danych w zależności od rodzaju danych osobowych, które powierzają do przetwarzania.

Wrażliwe dane osobowe podlegają szczególnej ochronie prawnej. Operacje na tego rodzaju danych objęte są ograniczeniami wynikającym z art. 27 ustawy o ochronie danych osobowych. Zasadniczo przetwarzanie danych wrażliwych jest zakazane. Przepisy uodo określają, jednakże kilka przypadków, w których można je przetwarzać.

Ograniczenia dotyczące przetwarzania danych wrażliwych mogą wynikać także z przepisów szczególnych, które przewidują dalej idącą ich ochronę, niż wynika ona z uodo. Wobec tego legitymowanie się przez administratora danych jedną z przesłanek dopuszczalności przetwarzania danych wrażliwych określonych w uodo nie zawsze oznacza, że jest on uprawniony do powierzenia danych wrażliwych dowolnie wybranemu podmiotowi.

Co ustawa mówi o powierzeniu danych wrażliwych

Przepisy uodo zezwalają administratorowi danych na powierzenie przetwarzania danych innemu podmiotowi (art. 31 ustawy). Podstawą powierzenia danych może być tylko umowa zawarta z podmiotem, któremu administrator zamierza powierzyć dane (tzw. procesor). Umowę należy zawrzeć w formie pisemnej. Należy w niej określić przede wszystkim zakres i cel przetwarzania danych osobowych.

Przed rozpoczęciem przetwarzania danych podmiot, któremu administrator danych powierzył dane osobowe do przetwarzania, zobowiązany jest do podjęcia środków zabezpieczających zbiór danych (art. 36–39 uodo). Powinien także spełnić wymagania określone w przepisach rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Wskazane zasady powierzenia przetwarzania danych dotyczą zarówno powierzenia danych osobowych zwykłych, jak i wrażliwych.

Czy są jakieś ograniczenia w powierzeniu danych wrażliwych

Przed podjęciem decyzji o powierzeniu przetwarzania danych osobowych wrażliwych należy sprawdzić, czy istnieją przepisy, które przewidują dalej idącą ochronę danych, niż wynika to z przepisów uodo. Mogą one mieć zastosowanie do powierzenia przetwarzania danych zamiast przepisów uodo.

W szczególności dane osobowe, w tym dane wrażliwe, mogą być objęte tajemnicami ustawowo chronionymi. Oznacza to, że tylko określony krąg podmiotów może mieć dostęp do tego rodzaju danych. Przykładowo można tu wskazać na dane medyczne objęte tajemnicą wynikającą z przepisów dotyczących wykonywania zawodów medycznych (np. art. 13 i 14 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta). Ponadto na regulacje, które wprowadzają inne tajemnice zawodowe np. ustawę Prawo bankowe, ustawę o działalności ubezpieczeniowej czy ustawę Prawo telekomunikacyjne.

Przepisy te zawierają szczególne regulacje dotyczące powierzenia do przetwarzania danych osobowych, w tym danych wrażliwych innym podmiotom. Wskazują, w jakim zakresie, jakim celu i pod jakimi warunkami powierzenie jest możliwe. Jednocześnie nakładają na podmioty, którym powierzono dane do przetwarzania, obowiązek zachowania powierzonych danych osobowych w tajemnicy.

Czy trzeba dodatkowo zabezpieczyć się w umowie powierzenia

W przypadku gdy administrator danych powierzy podmiotowi zewnętrznemu przetwarzanie danych wrażliwych, musi pamiętać, że nadal będzie ponosił odpowiedzialność za przestrzeganie przepisów z zakresu ochrony danych. Innymi słowy, administrator danych będzie odpowiadał także za działania bądź zaniechania podmiotu, któremu powierzył dane do przetwarzania.

Administrator danych powinien zatem zadbać, aby w umowie powierzenia przetwarzania danych znalazły się klauzule, które pozwolą mu nadzorować prawidłowość operacji prowadzonych na powierzonych danych osobowych. Powinny się w niej znaleźć także klauzule zapewniające spełnianie przez procesora warunków wynikających z przepisów szczególnych, a dotyczących procesu przetwarzana powierzonych danych.

Dobrze jest zadbać o to, aby w proces przetwarzania powierzonych danych wrażliwych była zaangażowana określona grupa osób ze strony procesora. W tym celu, zawierając umowę z procesorem, administrator danych może zażądać imiennej listy osób, które będą zaangażowane przy jej realizacji. Tam, gdzie jest to wymagane przez przepisy szczególne (np. ustawę o prawach pacjenta), konieczne jest odebranie od tych osób oświadczeń zawierających zobowiązanie do zachowania tajemnicy powierzonych danych.

Jednym z najistotniejszych elementów umowy powierzenia przetwarzania danych, a w niektórych przypadkach elementem obligatoryjnym, jest zapewnienie sobie możliwości kontroli zgodności przetwarzania danych osobowych przez procesora. Warto szczegółowo określić sposoby i częstotliwość kontroli, a także procedurę usuwania stwierdzonych podczas kontroli uchybień.

W końcu w umowie powierzenia przetwarzania danych osobowych powinny znaleźć się postanowienia odnoszące się do zasad ponoszenia przez procesora odpowiedzialności za nieprzestrzeganie postanowień umowy, zwłaszcza za naruszenia przepisów ustawy o ochronie danych osobowych (np. zastrzeżenie kar umownych).

Należy także uregulować sytuacje, w których dojdzie do zaprzestania przetwarzania powierzonych danych przez procesora (np. wskutek rozwiązania umowy, likwidacji podmiotu). Umowa powierzenia przetwarzania danych osobowych powinna zatem zawierać szczegółowe postanowienia o:

  • zwrocie nośników danych,
  • usuwaniu lub zniszczeniu danych lub ich kopii.
Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922).
Agnieszka Kręcisz-Sarna

Autor: Agnieszka Kręcisz-Sarna

radca prawny, ekspert z zakresu postępowania administracyjnego. Prowadzi kompleksową obsługę prawną przedsiębiorców oraz świadczy pomoc prawną dla jednostek sektora finansów publicznych, m.in. dla organów nadzoru budowlanego

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel