Przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (czyli powszechnie znanego RODO) rzuciło nowe spojrzenie na relacje gospodarcze pomiędzy podmiotami w kontekście przekazywania danych. Szczególne wątpliwości rodzi tutaj powierzenie przetwarzania danych osobowych.
Umowa powierzenia przetwarzania danych osobowych – jak to zrobić w 2022r. ?
Powierzenie przetwarzania danych osobowych powinno nastąpić za pomocą umowy powierzenia przetwarzania danych osobowych lub, jak wskazuje RODO – innego instrumentu prawnego, który podlega prawu unii lub państwa członkowskiego. Umowa powierzenia przetwarzania danych osobowych zawierana jest pomiędzy administratorem danych, czyli podmiotem określającym cele i sposoby przetwarzania danych osobowych, a podmiotem przetwarzającym, czyli procesorem.
Kluczowe w podjęciu decyzji o podpisaniu umowy powierzenia jest określenie stanu faktycznego w celu ustalenia, w jaki sposób dojdzie do przepływu danych osobowych. Zauważyć należy, że sama czynność podpisania umowy powierzenia nie wskazuje, że zachodzi powierzenie danych osobowych. Może bowiem zdarzyć się sytuacja, gdzie pomimo zawartej między podmiotami umowy powierzenia, w rzeczywistości zachodzi udostępnienie danych. Bardziej kłopotliwym dla administratora, może okazać się jednak brak omawianej umowy, gdy takie powierzenie przetwarzania danych faktycznie zachodzi. Stanowi to bowiem naruszenie przepisów wynikających z RODO.
Sprawdź jak wdrożyć RODO w twojej organizacji
Powierzenie danych osobowych – umowa zgodna z RODO
Chociaż obowiązek zawierania umów przetwarzania danych osobowych obecny był już w poprzednim stanie prawnym i wynikał z ustawy o ochronie danych osobowych z 1997 roku, to należy zaznaczyć, że RODO wprowadziło daleko idące doprecyzowania i zmiany.
Jako pierwsze z nich, należy wymienić możliwość zawarcia umowy powierzenia przetwarzania danych osobowych w formie elektronicznej.
Biorąc natomiast pod uwagę kwestie merytoryczne, do tych najważniejszych powinno się zaliczyć obowiązek procesora polegający na usunięciu lub zwróceniu wszelkich danych osobowych a także ich istniejących kopii, po zakończeniu świadczenia usług związanych z przetwarzaniem. Zakres informacji które muszą być zamieszczone w umowie powierzenia określa art. 28 RODO.
RODO dopuszcza także możliwość współpracy z podprocesorami, czyli podmiotami, które będą mogły wykonywać pewne określone operacje na danych w ramach podpowierzenia. Do takiego działania potrzebna jest jednak zgoda administratora danych. To jaki zakres danych i jakim podprocesorom zostanie udostępniony zależy oczywiście od zakresu zgody wyrażonej przez administratora.
Powierzenie przetwarzania danych – obowiązki procesora
Podmiot przetwarzający obciążają obowiązki, które wynikają nie tylko z umowy łączącej go z administratorem, ale także takich pochodzących wprost z samego rozporządzenia. Wymienić można:
- zobowiązanie do przetwarzania danych wyłącznie na udokumentowane polecenie administratora,
- zapewnienie odpowiedniego stopnia bezpieczeństwa przetwarzania danych osobowych poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych, przy czym uwzględnić należy stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania danych oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia,
- zobowiązanie do uzyskania oświadczeń poufności personelu lub podlegania obowiązkom ustawowym,
- prowadzenie rejestru kategorii czynności przetwarzania dokonywanych w imieniu administratora, a także udostępnianie tego rejestru na żądanie organu nadzorczego,
- zobowiązanie do przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego (odpowiedni poziom środków bezpieczeństwa),
- zobowiązanie do ograniczenia podpowierzania danych do konkretnych czynności,
- zadania z zakresu obsługi praw jednostki, tzn. pomoc administratorowi w wykonywaniu obowiązków wobec podmiotów danych,
- zasady notyfikacji naruszeń ochrony danych,
- zasady udziału w ocenie skutków dla ochrony danych, w szczególności wspierania administratora w konsultacjach z organem nadzorczym,
- zobowiązanie do pomagania administratorowi w wykonywaniu innych obowiązków,
- zobowiązanie usunięcia lub zwrotu danych po zakończeniu świadczonych usług( o czym wspomniano powyżej),
- zobowiązanie do dokumentowania działań podmiotu przetwarzającego i udostępniania tej dokumentacji administratorowi, w celu spełnienia zasady rozliczalności,
- określenie zasad obsługi kontroli organu nadzorczego i innych audytów, w tym informowanie o kontroli i ustaleniach wiodącego organu nadzorczego.
Powierzenie przetwarzania danych – obowiązki administratora
Obowiązki administratora danych osobowych znajdują się w wielu przepisach rozporządzenia. do najważniejszych z nich należą:
- przetwarzanie danych zgodnie z zasadami określonymi w art. 5 RODO,
- przetwarzanie danych na jednej z podstaw określonych w art. 6 lub 9 RODO,
- spełnienie obowiązku informacyjnego,
- zapewnienie realizacji praw podmiotów danych,
- zapewnienie bezpieczeństwa danych zgodnie z art. 24 i 32 RODO,
- zapewnienie projektowania prywatności i domyślnej prywatności jako podstawy zasady minimalizacji przetwarzania danych w myśl art. 25 RODO,
- prowadzenie rejestru czynności przetwarzania danych,
- współpraca z organem nadzorczym,
- zgłaszanie organowi nadzorczemu naruszeń ochrony danych,
- powiadomienie osób, których dane dotyczą o naruszeniu,
- przeprowadzenie sformalizowanej oceny skutków dla ochrony danych gdy zachodzi duże prawdopodobieństwo wysokiego ryzyka naruszenia praw i wolności osób, której dane dotyczą,
- w przypadku określenia wysokiego ryzyka konsultacja z organem nadzorczym przed rozpoczęciem przetwarzania.
Należy zaznaczyć, że katalog stanowi wyliczenie przykładowe.
Podsumowanie
Można powiedzieć, że administrator odgrywa rolę zwierzchnika podmiotu przetwarzającego, bowiem to na jego polecenie odbywa się przetwarzanie danych osobowych. Oczywistym jest, że ułożenie relacji pomiędzy administratorem a podmiotem przetwarzającym może powodować problemy ze zrozumieniem obowiązków wynikających z Rozporządzenia. Jeśli podmiot przetwarzający nie będzie uświadamiał sobie dobrze obowiązków, a także nie będzie rozumiał swojej roli jako procesora, problematyczna może okazać się kwestia odpowiedzialności. Dodatkowym problemem okazać może się sytuacja, gdzie mniejszy administrator pozostaje w relacji z dużym podmiotem przetwarzającym. Będzie stał wtedy na słabszej pozycji.
Należy mieć na uwadze, że często każdy z tych podmiotów może odgrywać podwójną rolę – jednocześnie administratora i podmiotu przetwarzającego. Niewykluczona jest także sytuacja, gdzie dany podmiot występować będzie jako administrator i podmiot przetwarzający względem tych samych danych. Złożoność procesów gospodarczych ma bowiem ogromne odzwierciedlenie w o ochronie danych osobowych. Określenie czy i kiedy następuje powierzenie przetwarzania danych osobowych jest kluczowe w realizacji obowiązków wynikających z wynikających z RODO.