Jaką rolę w procesie przetwarzania danych ma administrator danych, a jaką procesor

Jak twierdził Henry Ford: „Jeśli jest coś, czego nie potrafimy zrobić wydajniej, taniej i lepiej niż nasi konkurenci, to nie ma sensu, żebyśmy to robili; powinniśmy zatrudnić do wykonania tej pracy kogoś, kto zrobi to lepiej”.

„Outsourcować” możemy różne, wybrane obszary swojej działalności, co pozwala na maksymalne dopasowanie świadczonych usług do aktualnych potrzeb firmy. Decyduje tu najczęściej czynnik opłacalności, a czasami możliwość przeniesienia lub podzielenia się ryzykiem i odpowiedzialnością.

Ma to szczególne znaczenie przy realizacji umów, porozumień, zamówień zobowiązujących lub umożliwiających zleceniobiorcom, wykonawcom dostęp do informacji zawierających dane osobowe. W takim przypadku mówimy o powierzaniu danych osobowych do przetwarzania, a takie zewnętrzne firmy określamy mianem procesora lub podmiotu przetwarzającego.

Rozporządzenie ogólne UE o ochronie danych osobowych (RODO), które ma obowiązywać od 25 maja 2018 r., poświęca bardzo wiele miejsca na te kwestie i praktycznie w równym stopniu nakłada dużą odpowiedzialność na administratora i podmiot przetwarzający za zgodne z przepisami przetwarzanie danych osobowych.

Również obecne przepisy ustawy o ochronie danych osobowych dają oczywiście możliwość powierzenia danych do przetwarzania, a procesor odpowiada wtedy za ich bezpieczeństwo na równi z administratorem danych.

Administrator danych to organ, jednostka organizacyjna, podmiot lub osoba prowadząca działalność gospodarczą, które decydują o celach i środkach przetwarzania danych osobowych. W RODO „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Administrator to podmiot, który jest swego rodzaju „właścicielem” posiadanych u siebie danych, decydujący, w jakim celu, i przy użyciu jakich środków są one wykorzystywane.

Podmiot przetwarzający, inaczej procesor, oznacza natomiast osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Procesor nie jest więc „właścicielem” danych otrzymanych od administratora w oznaczonym celu. Nie może ich wykorzystać do swoich celów. Wykonuje na powierzonych danych jedynie operacje zlecone przez administratora, jednocześnie zapewniając im dalszą ochronę, przewidzianą przepisami prawa.

Niestety często mylone jest pojęcie powierzenia danych z udostępnieniem danych osobowych. Powierzenie to kolokwialnie mówiąc swego rodzaju „wypożyczenie”. Administrator nadal jest „właścicielem” powierzonych danych. Udostępnienie to oddanie, „sprzedaż” danych. Administrator traci kontrolę nad tym, co dalej z udostępnionymi danymi będzie robić odbiorca danych.

Tu pojawia się kolejna definicja, tj. odbiorca danych. Rozumie się przez to każdego, komu udostępnia się dane osobowe, jednak z wyłączeniem osoby, której dane dotyczą, osoby upoważnionej do przetwarzania danych, podmiotu, z którym została zawarta umowa powierzenia.

Zgodnie z definicją RODO „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią.

Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców. Przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych, które mają zastosowanie zgodnie z celami przetwarzania.

Zgodnie z art. 31 ustawy o ochronie danych osobowych administrator danych może powierzyć innemu podmiotowi w drodze umowy o powierzeniu przetwarzania danych zawartej na piśmie. Procesor może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.

Oznacza to, że należy zredagować pisemną umowę, w której określi się:

• zakres i cel przetwarzania danych,
• warunki dostępu do powierzonych danych,
• zasady kontroli nad danymi,
• informacje o tym, jakie dane będą przetwarzane przez firmę zewnętrzną,
• czy firma może zlecać powierzone zadania podwykonawcom,
• zapewnienie dotyczące stosowania środków technicznych i organizacyjnych, które będą zabezpieczać powierzone dane osobowe,
• warunki nadzoru nad danymi,
• zobowiązanie, że do przetwarzania danych będą dopuszczone wyłącznie osoby upoważnione,
• odpowiedzialność za szkody, jakie ewentualnie powstaną w wyniku przetwarzania danych osobowych niezgodnego z umową,
• zobowiązanie do niezwłocznego usunięcia powierzonych danych po zakończeniu trwania umowy.

Kolejne ustępy art. 31 uodo mówią, że podmiot przetwarzający przed rozpoczęciem przetwarzania danych musi wdrożyć środki zabezpieczające powierzone dane, o których mowa w art. 36–39 uodo, oraz posiadać własną politykę bezpieczeństwa informacji.

W zakresie przestrzegania tych przepisów podmiot przetwarzający ponosi odpowiedzialność jak administrator danych. W przypadku zawarcia umowy powierzenia odpowiedzialność za przestrzeganie przepisów ustawy o ochronie danych osobowych spoczywa generalnie na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

Decydując się na podjęcie współpracy z wybranym usługodawcą, należy bardzo starannie i dokładnie sprawdzić, czy może on zapewnić działania i ochronę danych na najwyższym poziomie. Z pewnością powinien on być wyspecjalizowany w realizowaniu zadań z dziedziny, którą chcemy mu powierzyć do wykonania, zwłaszcza gdy w grę wchodzi na przykład zewnętrzna obsługa informatyczna czy chociażby kadrowo-księgowa.

W umowie powierzenia trzeba dokładnie określić, czy podmiot przetwarzający ma prawo skorzystać przy realizacji zleconej usługi z kolejnych podwykonawców, czyli „podpowierzyć” przetwarzanie danych. Jeśli tak, to na zasadach określonych przez administratora, za wiedzą i zgodą administratora i w zakresie nie większym, niż określała pierwotna umowa pomiędzy administratorem a procesorem. Przetwarzanie danych w imieniu administratora dość szczegółowo opisuje art. 28 rozporządzenia ogólnego – RODO.

W rozporządzeniu unijnym pojawia się pojęcie „współadministratorzy”. Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków prawnych, szczególnie w stosunku do osób, których dane dotyczą.

Należy pamiętać, że upoważnienia do przetwarzania danych administrator wydaje swoim pracownikom, a nie osobom zatrudnionym u procesora. Administratora z podmiotem przetwarzającym wiąże umowa powierzenia, która określa wspomniane wyżej zasady i nakazuje procesorowi dopuścić do przetwarzania powierzonych danych jedynie osoby upoważnione. To procesor upoważnia swoich pracowników i zobowiązuje ich do zachowania tajemnicy.