Powierzenie przetwarzania danych – jak reguluje je rodo

Monika Brzozowska-Pasieka

Autor: Katarzyna Witkowska-Nowakowska

Dodano: 23 stycznia 2017
Powierzenie przetwarzania danych – jak reguluje je rodo

Outsourcing usług i związane z nim powierzanie przetwarzania danych osobowych są dziś często wykorzystywanym modelem działania. Przepisy ustawy o ochronie danych osobowych nie przewidują jednak złożonej regulacji w tym zakresie. Inaczej jest w przypadku przepisów ogólnego rozporządzenia o ochronie danych.

Artykuł 31 ustawy o ochronie danych osobowych przewiduje generalną możliwość powierzenia przetwarzania innemu podmiotowi, nie wskazując kryteriów, jakimi powinien kierować się administrator, dokonując wyboru podmiotu przetwarzającego.

Inaczej kwestię tę reguluje rozporządzenie ogólne. W art. 28 przewiduje możliwość powierzenia przetwarzania danych wyłącznie podmiotowi, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi określone w rozporządzeniu ogólnym i chroniło prawa osób, których dane dotyczą.

Przepisy rozporządzenia ogólnego zawierają podstawowe dyrektywy wyboru podmiotu przetwarzającego. Administrator przed dokonaniem powierzenia powinien upewnić się, że podmiot, któremu powierzy dane osobowe, będzie stosować szeroko rozumiane środki gwarantujące spełnienie wymogów rozporządzenia oraz poszanowanie praw osób, których dane osobowe podlegałyby powierzeniu.

Nowe przepisy o ochronie danych odchodzą od sztywnych wymogów w zakresie ich zabezpieczania i dokumentowania samych operacji przetwarzania. Zachowują technologiczną neutralność i pozostawiają duży margines swobody w podejmowaniu decyzji, jak zabezpieczyć dane.

W związku z tym ocena, czy dany podmiot stwarza wystarczające gwarancje, umożliwiające powierzenie, może być w wielu wypadkach trudna. Jeżeli administrator nie będzie miał pewności, że podmiot przetwarzający stwarza odpowiednie gwarancje, powierzenie zgodnie z przepisem art. 28 ust. 1 rozporządzenia ogólnego, będzie niedopuszczalne.

Jaką podstawę prawną zastosować

Przetwarzanie przez podmiot przetwarzający odbywać się może zgodnie z przepisami rozporządzenia ogólnego na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, a także określają kluczowe elementy, opisane poniżej.

Rozporządzenie przewiduje więc dwie możliwości: powierzenia na postawie umowy lub aktu prawnego, które muszą mieć formę pisemną, w której, jak wskazuje art. 28 ust. 9, mieści się forma elektroniczna. Kwestia ewentualnego wydawania aktów prawnych stanowiących podstawę i precyzujących ramy powierzenia nie będą analizowane w ramach niniejszego artykułu, choć opisywane wymogi stawiane umowie odnoszą się również do aktów prawnych.

Co koniecznie musi znaleźć się w umowie powierzenia

Rozporządzenie ogólne reguluje kwestię elementów, które powinna określać umowa powierzenia, zdecydowanie szerzej niż ustawa o ochronie danych osobowych. Zgodnie z art. 31 ust. 2 ustawy, umowa taka powinna przewidywać zakres i cel przetwarzania.

Z kolei zgodnie z art. 28 ust. 3 rozporządzenia ogólnego, w umowie powierzenia należy określić:

  • przedmiot przetwarzania,
  • czas trwania przetwarzania,
  • charakter i cel przetwarzania,
  • rodzaj danych osobowych oraz kategorie osób, których dane dotyczą,
  • obowiązki i prawa administratora.

Poza tym podstawowym katalogiem obszarów, które wymagają uregulowania umową powierzenia, rozporządzenie ogólne wymaga stanowi, że umowa powinna także:

  • ograniczać procesora do przetwarzania danych osobowych wyłącznie na polecenie administratora danych osobowych,
  • zobowiązywać procesora, aby zapewnił, że osoby upoważnione przez niego do przetwarzania danych osobowych zobowiążą się do zachowania ich w tajemnicy,
  • zobowiązywać procesora do wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający poziomowi ryzyka naruszenia praw lub wolności osób fizycznych,
  • określać zasady korzystania przez procesora z podprocesorów,
  • określać sposób współdziałania stron przy wykonywaniu obowiązków ciążących
  • na administratorze danych osobowych,
  • zobowiązywać procesora do pomagania administratorowi w wykonywaniu jego zadań, obejmujących zapewnianie bezpieczeństwa przetwarzania, zgłaszanie naruszeń, prowadzenie oceny skutków i uprzednich konsultacji,
  • określać sposób postępowania z danymi osobowymi po zakończeniu przetwarzania,
  • zobowiązywać procesora do udostępniania administratorowi wszelkich informacji związanych z przetwarzaniem przez niego danych osobowych oraz do umożliwiania przeprowadzenia audytów i współdziałania w ich trakcie.

Co jeszcze wpisać do umowy

Określenie w przepisach dość szerokiego katalogu obligatoryjnych elementów umowy powierzenia jest nowością na poziomie regulacyjnym. Warto jednak podkreślić, że taki zakres kwestii podlegających ustaleniu w umowie powinien być uwzględniany także w umowach podpisywanych przez administratorów zgodnie z art. 31 ustawy o ochronie danych osobowych.

Z tego względu, dla administratorów danych, którzy konstruują umowy powierzania w sposób bardziej rozbudowany, przepisy rozporządzenia ogólnego nie powinny oznaczać w tym zakresie wielu zmian. Administratorzy danych, którzy ograniczają dziś umowy wyłącznie do postanowień dotyczących zakresu i celu przetwarzania, powinni natomiast zadbać o stworzenie odpowiednich warunków powierzenia, także w sferze umownej.

Biorąc pod uwagę, że na administratorze danych ciąży obowiązek sprawowania kontroli nad danymi osobowymi oraz odpowiedniego ich zabezpieczenia, powierzając dane, administrator powinien zadbać nie tylko o to, by wskazać cel i zakres tego przetwarzania. Powinien także ustalić:

  • w jakich wypadkach i po spełnieniu jakich przesłanek procesor może dokonać dalszego powierzenia,
  • czy i w jakim zakresie ma wspierać administratora w wykonywaniu jego obowiązków z zakresu ochrony danych (np. może się zdarzyć, że procesor zbierając dane w imieniu administratora danych, będzie realizował w jego imieniu obowiązek administracyjny),
  • w jaki sposób procesor ma postępować z danymi po zakończeniu współpracy, a także
  • zagwarantować sobie możliwość weryfikacji, jak zabezpieczane są dane powierzone do przetwarzania przez administratora.
Uwaga

Od 25 maja 2018 r. administratorzy danych będą musieli wykazywać zgodność przetwarzania z przepisami rozporządzenia ogólnego, problem prawidłowego powierzania należy uwzględnić w praktyce administratora przed tą datą.

Czy będzie można podpowierzyć przetwarzanie danych

W przeciwieństwie do przepisów ustawy o ochronie danych osobowych, które nie odnoszą się do kwestii dalszego powierzania przetwarzania danych osobowych, rozporządzenie ogólne przewiduje taką możliwość. Jest ona uzależniona jednak od uzyskania uprzedniej i szczegółowej lub ogólnej i pisemnej zgody administratora danych osobowych.

Jeżeli więc procesor planuje przetwarzać dane powierzone mu do przetwarzania, korzystając z usług dalszych przetwarzających (dokonując outsourcingu określonych procesów), może to robić pod warunkiem uzyskania odpowiedniej zgody administratora.

Zgoda może być w myśl przepisów rozporządzenia ogólnego wyrażona przed dokonaniem dalszego powierzenia w sposób szczegółowy. W takim wypadku zgoda obejmować będzie konkretnego podprzetwarzającego.

W przypadku odwołania zgody na korzystanie z danego podprocesora podmiot przetwarzający, chcąc kontynuować współpracę z administratorem, będzie musiał albo zaprzestać dalszego zlecania wykonania określonych operacji przez inny podmiot w stosunku do danych powierzonych, albo skorzystać z usługi innego podmiotu, na korzystanie z usług którego zgodzi się administrator. Administrator może też wyrazić ogólną, pisemną zgodę na korzystanie z usług podprocesorów.

Wyrażenie blankietowej zgody, która nie wskazuje konkretnych dalszych przetwarzających, nie oznacza, że administrator jest pozbawiony informacji o tym, jakie inne niż procesor podmioty przetwarzają powierzone dane osobowe. W takim przypadku procesor ma bowiem obowiązek informowania administratora o wszelkich zamierzonych zmianach dotyczących dodania innych podmiotów przetwarzających lub zastąpienia innym podmiotu, któremu podpowierzył przetwarzanie danych. Administrator danych może wyrazić sprzeciw wobec proponowanych przez procesora podmiotów, którym ten zamierza podpowierzyć przetwarzanie danych osobowych.

Jeżeli administrator wyrazi zgodę (w jeden z dwóch dopuszczalnych sposobów) na dalsze powierzanie, umowa powinna nakładać na procesora obowiązek kontraktowego zobowiązania dalszego przetwarzającego do przestrzegania takich samych obowiązków i zasad, jakie obowiązują samego procesora w relacji z administratorem. W przeciwnym razie, zaniechania procesora w tym zakresie wiązać się będą z jego pełną odpowiedzialnością za zachowania podprocesora.

Jesteś podmiotem przetwarzającym – jakie masz obowiązki

Niezależnie od obowiązków, jakie na podmiot przetwarzający nakładać ma umowa powierzenia, odpowiednie zadania i obowiązki przewidują także wprost przepisy rozporządzenia ogólnego, odwołując się wielokrotnie nie tylko do administratora, ale także do procesora.

Podmioty przetwarzające dane na podstawie umów powierzenia powinny zwrócić uwagę na przypisany im w art. 30 ust. 2 rozporządzenia obowiązek prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, obejmującego następujące informacje:

  • imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w którego imieniu działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych,
  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
  • informacje o przekazywaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
  • jeżeli jest to możliwe – ogólny opis technicznych i organizacyjnych środków bezpieczeństwa (o których mowa w art. 32 ust. 1 rozporządzenia ogólnego).
Ważne:

Podmiot przetwarzający ma obowiązek współpracy z organem nadzorczym.

Wprost odnoszą się do niego także przepisy wymagające wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa, adekwatny do zidentyfikowanych i ustalonych ryzyk oraz stosowanych i wybieranych z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania, charakteru, zakresu, kontekstu i celów przetwarzania.

Podmiot przetwarzający został uwzględniony również w procedurze zgłaszania naruszeń. Jednak, o ile administrator zobowiązanych jest do zgłaszania naruszeń ochrony danych bezpośrednio organowi nadzorczemu, o tyle procesor po stwierdzeniu naruszenia powinien je zgłosić niezwłocznie administratorowi danych. Operacje przetwarzania dokonywane przez procesora muszą być także uwzględniane przy ocenie skutków dla ochrony danych i mogą podlegać procedurze uprzednich konsultacji.

Podmiot przetwarzający jest zobowiązany w przypadkach określonych w art. 37 ust. 1 rozporządzenia powołać inspektora ochrony danych. W pozostałych przypadkach, tak jak administrator, procesor może (ale nie musi) wyznaczyć takiego inspektora. Do podmiotu przetwarzającego odwołują się przepisy przewidujące kary pieniężne nakładane w przypadkach określonych w art. 83 rozporządzenia ogólnego.

Od kiedy zacząć stosować nowe wymagania

Nie ma przeszkód, by stosować wytyczne rozporządzenia ogólnego w zakresie prawidłowego powierzania przetwarzania danych już dziś. Co więcej, zastosowanie bardziej precyzyjnych postanowień w umowach powierzenia działa na korzyść administratora i może istotnie przyczynić się do podniesienia standardu ochrony danych u niego, dzięki podniesieniu poziomu wymagań względem procesora.

Konstruowanie umów powierzenia z uwzględnieniem brzmienia przepisu art. 28 rozporządzenia ogólnego należy w szczególności doradzić tym administratorom danych, którzy wiedzą, że współpraca, z której wynika powierzenie przetwarzania, trwać będzie przez dłuższy czas, także po 25 maja 2018 r.

Monika Brzozowska-Pasieka

Autor: Katarzyna Witkowska-Nowakowska

prawnik w Lubasz i Wspólnicy – Kancelaria Radców Prawnych, ekspert w dziedzinie bezpieczeństwa informacji i ochrony danych osobowych, posiada doświadczenie w prowadzeniu audytów oraz szkoleń w tym zakresie, a także w opracowywaniu pełnej dokumentacji ochrony danych osobowych. Redaktor naczelny portalu www.PortalODO.com

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x