Powierzenie przetwarzania wrażliwych danych osobowych – co na to przepisy

Agnieszka Kręcisz-Sarna

Autor: Agnieszka Kręcisz-Sarna

Dodano: 31 lipca 2017
Dokument archiwalny
Powierzenie przetwarzania wrażliwych danych osobowych – co na to przepisy

Wrażliwe dane osobowe podlegają szczególnej ochronie prawnej. Operacje na tego rodzaju danych objęte są ograniczeniami wynikającym z art. 27 ustawy o ochronie danych osobowych (uodo). Zasadniczo przetwarzanie danych wrażliwych jest zakazane. Przepisy uodo określają jednak kilka przypadków, w których można je przetwarzać.

Ograniczenia dotyczące przetwarzania danych wrażliwych mogą wynikać także z przepisów szczególnych, które przewidują dalej idącą ich ochronę, niż wynika ona z uodo. Wobec tego legitymowanie się przez administratora danych jedną z przesłanek dopuszczalności przetwarzania danych wrażliwych określonych w uodo nie zawsze oznacza, że jest on uprawniony do powierzenia danych wrażliwych dowolnie wybranemu podmiotowi.

Dane wrażliwe – czy można powierzyć ich przetwarzanie

Przepisy ustawy o ochronie danych osobowych zezwalają administratorowi danych na powierzenie przetwarzania danych innemu podmiotowi (art. 31 uodo). Podstawą powierzenia danych może być tylko umowa zawarta z podmiotem, któremu administrator zamierza powierzyć dane (tzw. procesor). Umowę należy zawrzeć w formie pisemnej. Należy w niej określić przede wszystkim zakres i cel przetwarzania danych osobowych.

Po zawarciu umowy status administratora danych będzie przysługiwał nadal podmiotowi powierzającemu dane. Procesor nie jest uznawany za odrębnego odbiorcę danych, tzn. nie musi legitymować się przesłankami legalności przetwarzania danych, spełniać obowiązków informacyjnych czy rejestrować zbiory danych u Generalnego Inspektora Ochrony Danych Osobowych. Jednak może przetwarzać powierzone dane tylko w zakresie i w celu określonym przez ciebie w umowie o powierzeniu. Wynika to z założenia, że status administratora danych nie zależy od faktycznego przetwarzania danych, a od możliwości decydowania we własnym imieniu o celach i środkach przetwarzania danych.

Przed rozpoczęciem przetwarzania danych podmiot, któremu administrator danych powierzył dane osobowe do przetwarzania, zobowiązany jest zastosować środki zabezpieczające zbiór danych (art. 36–39 uodo). Powinien także spełnić wymagania określone w przepisach rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Wskazane zasady powierzenia przetwarzania danych dotyczą zarówno powierzenia danych osobowych zwykłych, jak i wrażliwych.

Ważne:

Przepisy ustawy o ochronie danych osobowych nie zawierają żadnych zastrzeżeń co do możliwości powierzenia do przetwarzania danych wrażliwych. Nie różnicują także sytuacji administratorów danych w zależności od rodzaju danych osobowych, które powierzają do przetwarzania.

Kiedy nie można powierzyć przetwarzania danych wrażliwych

Przed podjęciem decyzji o powierzeniu przetwarzania danych osobowych wrażliwych należy sprawdzić, czy istnieją przepisy, które przewidują dalej idącą ochronę danych, niż wynika to z przepisów ustawy o ochronie danych osobowych. Mogą one mieć zastosowanie do powierzenia przetwarzania danych zamiast przepisów uodo.

W szczególności dane osobowe, w tym dane wrażliwe, mogą być objęte tajemnicami ustawowo chronionymi. Oznacza to, że tylko określony krąg podmiotów może mieć dostęp do tego rodzaju danych. Przykładowo można tu wskazać na dane medyczne objęte tajemnicą wynikającą z przepisów dotyczących wykonywania zawodów medycznych (np. art. 13 i 14 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta). Ponadto na regulacje, które wprowadzają inne tajemnice zawodowe np. ustawę Prawo bankowe, ustawę o działalności ubezpieczeniowej czy ustawę Prawo telekomunikacyjne.

Przepisy te zawierają szczególne regulacje dotyczące powierzenia do przetwarzania danych osobowych, w tym danych wrażliwych innym podmiotom. Wskazują, w jakim zakresie, jakim celu i pod jakimi warunkami powierzenie jest możliwe. Jednocześnie nakładają na podmioty, którym powierzono dane do przetwarzania, obowiązek zachowania powierzonych danych osobowych w tajemnicy.

PRZYKŁAD

Powierzenie danych medycznych

Podmiot udzielający świadczeń zdrowotnych może zawrzeć umowę  o powierzenie przetwarzania danych, pod warunkiem że:

  • podmiot udzielający świadczeń zdrowotnych zapewni ochronę danych osobowych i  prawo do kontroli, a podmiot przyjmujący te dane  zapewni zgodności przetwarzania danych osobowych z tą umową,
  • realizacja umowy nie będzie powodować zakłócenia udzielania świadczeń zdrowotnych, w szczególności w zakresie zapewnienia, bez zbędnej zwłoki, dostępu do danych zawartych w dokumentacji medycznej.

 Podmiot, któremu powierzono przetwarzanie danych osobowych, jest obowiązany do zachowania w tajemnicy informacji związanych z pacjentem uzyskanych w związku z realizacją umowy. Podmiot ten jest związany tajemnicą także po śmierci pacjenta (art. 24 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta).

Co musi określać umowa powierzenia

W przypadku gdy administrator danych powierzy podmiotowi zewnętrznemu przetwarzanie danych wrażliwych, musi pamiętać, że nadal będzie ponosił odpowiedzialność za przestrzeganie przepisów z zakresu ochrony danych. Innymi słowy, administrator danych będzie odpowiadał także za działania bądź zaniechania podmiotu, któremu powierzył dane do przetwarzania.

Administrator danych powinien zatem zadbać, aby w umowie powierzenia przetwarzania danych znalazły się klauzule, które pozwolą mu nadzorować prawidłowość operacji prowadzonych na powierzonych danych osobowych. Powinny się w niej znaleźć także klauzule zapewniające spełnianie przez procesora warunków wynikających z przepisów szczególnych, a dotyczących procesu przetwarzana powierzonych danych.

PRZYKŁAD

Realizacja umowy powierzenia danych medycznych nie może powodować zakłócenia udzielania świadczeń zdrowotnych, w szczególności w zakresie zapewnienia, bez zbędnej zwłoki, dostępu do danych zawartych w dokumentacji medycznej. W związku z tym umowa powierzenia powinna zawierać takie rozwiązania – dopasowane do rodzaju placówki i obowiązujących w niej procedur dotyczących dokumentacji medycznej – które pozwolą administratorowi danych na spełnienie tego warunku.

Dobrze jest zadbać o to, aby w proces przetwarzania powierzonych danych wrażliwych była zaangażowana określona grupa osób ze strony procesora. W tym celu, zawierając umowę z procesorem, administrator danych może zażądać imiennej listy osób, które będą zaangażowane przy jej realizacji. Tam, gdzie jest to wymagane przez przepisy szczególne (np. ustawę o prawach pacjenta), konieczne jest odebranie od tych osób oświadczeń zawierających zobowiązanie do zachowania tajemnicy powierzonych danych.

Jednym z najistotniejszych elementów umowy powierzenia przetwarzania danych, a w niektórych przypadkach elementem obligatoryjnym, jest zapewnienie sobie możliwości kontroli zgodności przetwarzania danych osobowych przez procesora. Warto szczegółowo określić sposoby i częstotliwość kontroli, a także procedurę usuwania stwierdzonych podczas kontroli uchybień.

W końcu w umowie powierzenia przetwarzania danych osobowych powinny znaleźć się postanowienia odnoszące się do zasad ponoszenia przez procesora odpowiedzialności za nieprzestrzeganie postanowień umowy, zwłaszcza za naruszenia przepisów ustawy o ochronie danych osobowych (np. zastrzeżenie kar umownych). Należy także uregulować sytuacje, w których dojdzie do zaprzestania przetwarzania powierzonych danych przez procesora (np. wskutek rozwiązania umowy, likwidacji podmiotu). Umowa powierzenia przetwarzania danych osobowych powinna zatem zawierać szczegółowe postanowienia o:

  • zwrocie nośników danych,
  • usuwaniu lub zniszczeniu danych lub ich kopii.
Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922).
Agnieszka Kręcisz-Sarna

Autor: Agnieszka Kręcisz-Sarna

radca prawny, ekspert z zakresu postępowania administracyjnego. Prowadzi kompleksową obsługę prawną przedsiębiorców oraz świadczy pomoc prawną dla jednostek sektora finansów publicznych, m.in. dla organów nadzoru budowlanego

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel