Powierzenie danych według RODO

Jeśli podmiot dokonuje operacji na danych osobowych na zlecenie administratora, wówczas mówimy o tzw. powierzeniu danych. Co ważne, w takiej sytuacji podmiot przetwarzający dane nie staje się ich administratorem. Mimo wszystko, ciąży na nim dokładnie taka sama odpowiedzialność jak na ADO.

Powierzenie danych według RODO

Rafał Stępniewski

25 października 2017

Podmiot działający w imieniu administratora przetwarza dane zgodnie z ustaleniami ADO. To od administratora zależy cel oraz sposób dokonywania operacji na danych. Czynności dokonywane w ramach powierzenia danych obejmują np. ich gromadzenie, usuwanie, przechowywanie, bądź edycję.

Należy mieć na uwadze, że przekazując dane osobowe podmiotowi nieupoważnionemu narażamy się na duże kary. Co więcej, możemy ponieść ogromne straty wizerunkowe. W związku z tym, powierzenie danych osobowych musi mieć zawsze odpowiednie uzasadnienie prawne.

Podmiot przetwarzający dane na zlecenie ADO, nie może wykorzystywać ich do realizacji własnych celów. Dalsze udostępniane, bądź sprzedawanie danych osobowych jest niezgodne z prawem, gdyż w dalszym ciągu są one własnością administratora.

Przykłady powierzenia danych

Z powierzeniem danych spotkamy się bardzo często w naszym codziennym życiu. Zazwyczaj dotyczą one outsourcingu usług. Dobrym przykładem jest powierzenie księgowości naszej firmy biurze rachunkowemu, czy zlecenie kampanii newsletterowej agencji marketingowej. W obu przypadkach mamy do czynienia z przetwarzaniem danych zgodnie z wytycznymi administratora.

Przykładów powierzenia danych osobowych jest oczywiście więcej. Warto wspomnieć o funkcjonowaniu zewnętrznego działu prawnego, biura pomocy, czy też korzystaniu z zewnętrznej obsługi BHP lub przeprowadzaniu przez agencję reklamową konkursów na zlecenie Klienta, a kończąc na firmie hostingowej

Obecny stan prawny

Przepisy ustawy o ochronie danych osobowych są bardzo ogólne. Umowa powierzenia danych powinna być zawarta w formie papierowej, a dane przetwarzane wyłącznie w zakresie i celu wskazanym przez administratora.

Analizując obecny stan prawny, nie sposób pominąć kwestii dotyczących odpowiedzialności cywilnej administratora, jak i podmiotu przetwarzającego dane. W przypadku uchybień, zarówno administrator, jak i podmiot działający w jego imieniu mogą zostać pociągnięci do odpowiedzialności. ADO odpowiada za przestrzeganie przepisów ustawy o ochronie danych osobowych. Podmiot przetwarzający dane odpowiada natomiast w zakresie działania niezgodnego z umową powierzenia oraz w zakresie zapewnienia odpowiedniego systemu zabezpieczeń.  

Zmiany wprowadzane przez RODO

Jedną ze zmian wprowadzanych przez RODO jest możliwość zawarcia umowy powierzenia danych osobowych w formie elektronicznej.

Nowe rozporządzenie skupia się w dużej mierze na roli podmiotu przetwarzającego. Powinien on zapewnić takie środki techniczne i organizacyjne, aby dane osobowe, na których dokonywane są operacje były odpowiednio zabezpieczone.

Ważną zmianą jest również to, że podmiot przetwarzający dane ma obowiązek ich usunięcia, bądź zwrócenia administratorowi po zakończeniu współpracy.

O ile UODO nie reguluje możliwości dalszego powierzenia przetwarzania danych, o tyle RODO rozstrzyga tę kwestię. Podmiot wykonujący operacje na danych administratora będzie mógł skorzystać z innego podmiotu przetwarzającego, tak zwanego podprocesora.

Jest to możliwe wyłącznie po uprzednim wyrażeniu zgody administratora. W tym zakresie może on zdecydować się na:

  • zgodę szczegółową – administrator wskazuje konkretnego podprocesora/podprzetwarzającego;

  • zgodę ogólną – podmiot przetwarzający dane informuje administratora o planach dotyczących dalszego przetwarzania danych; w takich przypadkach administrator może nie zgodzić się na propozycje procesora.

Co powinna zawierać umowa powierzenia danych zgodna z RODO?

Umowa powinna obligatoryjnie zawierać:

  • określenie administratora danych;

  • określenie podmiotu przetwarzającego dane na zlecenie administratora;

  • przedmiot i czas trwania przetwarzania;

  • charakter i cel przetwarzania;

  • rodzaj powierzanych danych osobowych oraz kategorie osób, których dane dotyczą;

  • obowiązki i prawa administratora;

  • oświadczenia procesora, wskazujące jego obowiązki.

Katalog obowiązków podmiotu przetwarzającego dane, o których powinna stanowić umowa powierzenia został określony w art. 28 ust. 3 pkt. a-h RODO. Procesor, podpisując umowę powierzania z ADO powinien oświadczyć między innymi, że:

  • przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora;

  • zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy;

  • podejmuje wszelkie środki wymagane na mocy art. 32 RODO;

  • pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą;

  • po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.

Opisane powyżej elementy, które muszą być zawarte w umowie, choć stanowią stosunkowo obszerny katalog, w zależności od konkretnego przypadku mogą nie wyczerpywać całokształtu obszarów, które należy uwzględnić przy powierzeniu przetwarzania.

Katalog elementów umowy o przetwarzanie danych, zawarty w art. 28 ust. 3 został skonstruowany w sposób otwarty, pozostawiając tym samym administratorowi pole do dalszych decyzji. Tym samym ustalenia między stronami relacji powierzenia mogą obejmować jeszcze inne elementy, obudowujące proces przetwarzania. W ramach takich ustaleń strony mogą uzgodnić także elementy fakultatywne umowy powierzenia, dotyczące m.in. kwestii związanych z:

  • ewentualnym regresem w przypadku naruszenia przez podmiot przetwarzający przepisów w zakresie ochrony danych osobowych i ustaleniem rozkładu odpowiedzialności w relacjach wewnętrznych pomiędzy administratorem a podmiotem przetwarzającym;

  • zastrzeżeniem kar umownych w przypadku naruszenia przez podmiot przetwarzający postanowień umowy;

  • wprowadzeniem szczegółowych zasad prowadzenia audytów lub inspekcji przez administratora;

  • skutecznością i mocą wiążącą zaleceń wydawanych w toku prowadzonych audytów lub inspekcji;

  • wspieraniem administratora w przypadku kontroli przestrzegania przepisów RODO;

  • zasadami współpracy z inspektorem ochrony danych powołanym po stronie podmiotu przetwarzającego;

  • wynagrodzeniem z tytułu przetwarzania danych w imieniu administratora;

  • możliwymi sposobami zakończenia współpracy;

  • stosownymi obostrzeniami lub konkretnymi rozstrzygnięciami w zakresie obligatoryjnych środków technicznych i organizacyjnych, których zastosowania żąda administrator;

  • ustaleniem prawa właściwego w relacjach transgranicznych.

Podsumowanie

Nie ulega wątpliwości, że zmiany wprowadzane przez RODO znacznie ułatwią życie przedsiębiorcom. Uregulowanie opcji dalszego powierzenia danych, pozwoli administratorom precyzyjnie określić warunki współpracy z procesorem. Co więcej, to procesor będzie ponosił pełną odpowiedzialność za działania podejmowane przez podwykonawców przetwarzających dane.

Dzięki dokładniejszemu określeniu obowiązków przetwarzającego, administratorzy zyskają większą kontrolę nad powierzonymi danymi oraz będą mogli zwiększyć poziom ochrony danych swoich kontrahentów. Dodatkowym ułatwieniem jest również możliwość zawierania umów w formie elektronicznej.

 

 

 

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!