Podpowierzenie przetwarzania danych osobowych według RODO

Standardy RODO wchodzące w życie 25 maja 2018 r. wypełnią od lat obecną lukę prawną w ustawie krajowej, która nie regulowała do tej pory kwestii podpowierzania danych osobowych kolejnym podmiotom. Wiąże się to z dodatkowymi obowiązkami dla administratorów i podmiotów przetwarzających przez dostosowanie umów do wymogów rozporządzenia. Nieprzestrzeganie przepisów RODO będzie wiązało się m.in. z wysokimi karami pieniężnymi dla obu stron.

  • Rafał Stępniewski
  • /
  • 20 marca 2018

Standardy RODO wchodzące w życie 25 maja 2018 r. wypełnią od lat obecną lukę prawną w ustawie krajowej, która nie regulowała do tej pory kwestii podpowierzania danych osobowych kolejnym podmiotom. Wiąże się to z dodatkowymi obowiązkami dla administratorów i podmiotów przetwarzających przez dostosowanie umów do wymogów rozporządzenia. Nieprzestrzeganie przepisów RODO będzie wiązało się m.in. z wysokimi karami pieniężnymi dla obu stron.

Kto i kiedy powierza dane?

Powierzenie danych osobowych zachodzi, gdy ze struktury organizacyjnej przedsiębiorstwa zostają wydzielone pewne jego funkcje i zlecone zostaje wykonywanie ich przez podmiot zewnętrzny. Powierzenie będzie towarzyszyło outsourcingowi takich usług jak księgowość zewnętrzne, suport IT czy hosting. Stronę powierzającego przetwarzanie danych nazywa się administratorem, a przetwarzającego na zlecenie – podmiotem przetwarzającym, inaczej procesorem.

Na gruncie RODO administratorem może być osoba fizyczna lub osoba prawna, jednostka lub inny podmiot, który samodzielnie bądź wspólnie ustala cele i sposoby przetwarzania danych osobowych.

Administrator będzie mógł ustalać cele wspólnie, ponieważ na podstawie art. 26 RODO została wprowadzona możliwość współadministrowania danymi. Co najmniej dwóch administratorów może zostać współadministratorami, którzy wspólnie ustalają cele i sposoby przetwarzania danych, a także relacje między sobą. Niewątpliwie będzie to dużym ułatwieniem dla grup kapitałowych, a także niepowiązanych przedsiębiorstw, które wspólnie chciałyby realizować cele gospodarcze.

Zgodnie z art. 4 pkt. 8, podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Jego zadaniem jest zapewnić wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą. Może je potwierdzić poprzez stosowanie zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji, co reguluje art. 40 i art. 42 RODO. Zatwierdzenia ma dokonywać odpowiedni organ nadzorczy.

Jak procesor może powierzyć dane osobowe?

Zgodnie z przepisem art. 28 ust. 2 RODO podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora na podpowierzenie danych osobowych. Dopuszczalność podpowierzenia jest więc zależna od woli pierwotnie powierzającego dane.

Jednocześnie w rozporządzeniu wskazane są dwie formy podpowierzenia. W umowie może znaleźć się szczegółowa zgoda administratora na konkretnego podprzetwarzającego albo ogólna zgoda administratora np. na podmioty z danej grupy kapitałowej. Umowa powinna też zawierać postanowienia dotyczące sposobów informowania o zmianach tj. dodania lub zastąpienia podmiotów przetwarzających.

W przypadku kiedy podprocesor nie wywiąże się ciążących na nim obowiązków ochrony danych, cała odpowiedzialność wobec administratora spoczywa na procesorze.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Forma umowy powierzenia

Zgodnie z art. 28 ust. 9 umowa powierzenia danych osobowych musi zachowywać formę pisemną, w tym elektroniczną. Dopuszczalne jest oświadczenie w postaci elektronicznej, opatrzone bezpiecznym podpisem elektronicznym weryfikowanym za pomocą kwalifikowanego certyfikatu, który wywołuje takie same skutki, jak podpis własnoręczny. RODO nie określa jednak skutków niedochowania formy umowy. Ponadto, strony mogą zawrzeć umowę indywidualną lub skorzystać ze standardowych klauzul umownych.

Co musi zawierać umowa powierzenia?

Zgodnie z wymogami RODO w takiej umowie obligatoryjnie muszą się znaleźć:

• przedmiot i czas przetwarzania,

• charakter i cel przetwarzania,

• rodzaj danych osobowych,

• kategorię osób, których dane dotyczą,

• obowiązki i prawa administratora.

Przedmiot przetwarzania ma określać zakres umowy, może obejmować np. stwierdzenie samoistności bądź uzupełniającego charakteru umowy czy też jej zakres terytorialny.

Czas przetwarzania może być ściśle oznaczony lub nieokreślony.

Charakter przetwarzania określa podmiot przetwarzający oraz formę jego kontaktu z podmiotem danych. Jeśli chodzi o cel, to określa on, po co dane zostały powierzone i jakie konkretnie czynności może wykonywać na nich podmiot przetwarzający.

Jako rodzaj danych osobowych należy rozumieć kategorię danych, które będą podlegać powierzeniu. Mogą to być zwykłe dane osobowe, szczególne kategorie danych osobowych, bądź dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

Pojęcie „kategorii osób, których dane dotyczą” należy utożsamiać m.in. z określeniem, czy zgromadzone dane osobowe dotyczą osób pełnoletnich, dzieci, czy też klientów albo pracowników, podwykonawców administratora.

Obowiązki i prawa administratora stanowią środki techniczne i organizacyjne zapewniające przetwarzanie zgodnie z RODO. W razie potrzeby poddawane są przeglądom i uaktualniane.

Strony powinny też zawrzeć w umowie, że procesor wyraża zgodę na przeprowadzenie u siebie audytu lub inspekcji przez administratora lub audytora upoważnionego przez administratora.

Podsumowanie

RODO rozwija dość skąpe regulacje dotyczące powierzenia zawarte w dyrektywie 95/46/WE oraz polskiej ustawie o ochronie danych osobowych. Normuje podpowierzenie, przeprowadzanie audytów oraz obligatoryjne elementy umowy powierzenia, pomijając jednak kwestię kolejnego stopnia podpowierzania przetwarzania danych osobowych. Administratorzy są zobowiązani do dostosowania się do nowych warunków przewidzianych w RODO, czy to aktualizując już zawarte umowy, czy zawierając nowe zgodnie z nowymi wytycznymi.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

O autorze

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!