Powierzenie przetwarzania wrażliwych danych osobowych – co na to przepisy

Ograniczenia dotyczące przetwarzania danych wrażliwych mogą wynikać także z przepisów szczególnych, które przewidują dalej idącą ich ochronę, niż wynika ona z uodo. Wobec tego legitymowanie się przez administratora danych jedną z przesłanek dopuszczalności przetwarzania danych wrażliwych określonych w uodo nie zawsze oznacza, że jest on uprawniony do powierzenia danych wrażliwych dowolnie wybranemu podmiotowi.

Przepisy ustawy o ochronie danych osobowych zezwalają administratorowi danych na powierzenie przetwarzania danych innemu podmiotowi (art. 31 uodo). Podstawą powierzenia danych może być tylko umowa zawarta z podmiotem, któremu administrator zamierza powierzyć dane (tzw. procesor). Umowę należy zawrzeć w formie pisemnej. Należy w niej określić przede wszystkim zakres i cel przetwarzania danych osobowych.

Po zawarciu umowy status administratora danych będzie przysługiwał nadal podmiotowi powierzającemu dane. Procesor nie jest uznawany za odrębnego odbiorcę danych, tzn. nie musi legitymować się przesłankami legalności przetwarzania danych, spełniać obowiązków informacyjnych czy rejestrować zbiory danych u Generalnego Inspektora Ochrony Danych Osobowych. Jednak może przetwarzać powierzone dane tylko w zakresie i w celu określonym przez ciebie w umowie o powierzeniu. Wynika to z założenia, że status administratora danych nie zależy od faktycznego przetwarzania danych, a od możliwości decydowania we własnym imieniu o celach i środkach przetwarzania danych.

Przed rozpoczęciem przetwarzania danych podmiot, któremu administrator danych powierzył dane osobowe do przetwarzania, zobowiązany jest zastosować środki zabezpieczające zbiór danych (art. 36–39 uodo). Powinien także spełnić wymagania określone w przepisach rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Wskazane zasady powierzenia przetwarzania danych dotyczą zarówno powierzenia danych osobowych zwykłych, jak i wrażliwych.

Przed podjęciem decyzji o powierzeniu przetwarzania danych osobowych wrażliwych należy sprawdzić, czy istnieją przepisy, które przewidują dalej idącą ochronę danych, niż wynika to z przepisów ustawy o ochronie danych osobowych. Mogą one mieć zastosowanie do powierzenia przetwarzania danych zamiast przepisów uodo.

W szczególności dane osobowe, w tym dane wrażliwe, mogą być objęte tajemnicami ustawowo chronionymi. Oznacza to, że tylko określony krąg podmiotów może mieć dostęp do tego rodzaju danych. Przykładowo można tu wskazać na dane medyczne objęte tajemnicą wynikającą z przepisów dotyczących wykonywania zawodów medycznych (np. art. 13 i 14 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta). Ponadto na regulacje, które wprowadzają inne tajemnice zawodowe np. ustawę Prawo bankowe, ustawę o działalności ubezpieczeniowej czy ustawę Prawo telekomunikacyjne.

Przepisy te zawierają szczególne regulacje dotyczące powierzenia do przetwarzania danych osobowych, w tym danych wrażliwych innym podmiotom. Wskazują, w jakim zakresie, jakim celu i pod jakimi warunkami powierzenie jest możliwe. Jednocześnie nakładają na podmioty, którym powierzono dane do przetwarzania, obowiązek zachowania powierzonych danych osobowych w tajemnicy.

W przypadku gdy administrator danych powierzy podmiotowi zewnętrznemu przetwarzanie danych wrażliwych, musi pamiętać, że nadal będzie ponosił odpowiedzialność za przestrzeganie przepisów z zakresu ochrony danych. Innymi słowy, administrator danych będzie odpowiadał także za działania bądź zaniechania podmiotu, któremu powierzył dane do przetwarzania.

Administrator danych powinien zatem zadbać, aby w umowie powierzenia przetwarzania danych znalazły się klauzule, które pozwolą mu nadzorować prawidłowość operacji prowadzonych na powierzonych danych osobowych. Powinny się w niej znaleźć także klauzule zapewniające spełnianie przez procesora warunków wynikających z przepisów szczególnych, a dotyczących procesu przetwarzana powierzonych danych.

Dobrze jest zadbać o to, aby w proces przetwarzania powierzonych danych wrażliwych była zaangażowana określona grupa osób ze strony procesora. W tym celu, zawierając umowę z procesorem, administrator danych może zażądać imiennej listy osób, które będą zaangażowane przy jej realizacji. Tam, gdzie jest to wymagane przez przepisy szczególne (np. ustawę o prawach pacjenta), konieczne jest odebranie od tych osób oświadczeń zawierających zobowiązanie do zachowania tajemnicy powierzonych danych.

Jednym z najistotniejszych elementów umowy powierzenia przetwarzania danych, a w niektórych przypadkach elementem obligatoryjnym, jest zapewnienie sobie możliwości kontroli zgodności przetwarzania danych osobowych przez procesora. Warto szczegółowo określić sposoby i częstotliwość kontroli, a także procedurę usuwania stwierdzonych podczas kontroli uchybień.

W końcu w umowie powierzenia przetwarzania danych osobowych powinny znaleźć się postanowienia odnoszące się do zasad ponoszenia przez procesora odpowiedzialności za nieprzestrzeganie postanowień umowy, zwłaszcza za naruszenia przepisów ustawy o ochronie danych osobowych (np. zastrzeżenie kar umownych). Należy także uregulować sytuacje, w których dojdzie do zaprzestania przetwarzania powierzonych danych przez procesora (np. wskutek rozwiązania umowy, likwidacji podmiotu). Umowa powierzenia przetwarzania danych osobowych powinna zatem zawierać szczegółowe postanowienia o:

• zwrocie nośników danych,
• usuwaniu lub zniszczeniu danych lub ich kopii.