Powierzenie przetwarzania danych osobowych. Rozporządzenie UE vs przepisy krajowe

Przyjęte w maju tego roku Rozporządzenie UE o ochronie danych osobowych jest aktem prawnym ujednolicającym przepisy o ochronie danych osobowych we wszystkich krajach członkowskich. Jednym z kluczowych obszarów szczegółowo uregulowanym w Rozporządzeniu jest instytucja powierzenia przetwarzania danych osobowych w ramach świadczenia usług. Warto bliżej przyjrzeć się przepisom w tym zakresie i wskazać najważniejsze zmiany, na jakie muszą się przygotować przedsiębiorcy do maja 2018 roku, kiedy to Rozporządzenie zacznie obowiązywać.

  • Rafał Stępniewski
  • /
  • 19 lipca 2016

Przyjęte w maju tego roku Rozporządzenie UE o ochronie danych osobowych (dalej: Rozporządzenie) jest aktem prawnym ujednolicającym przepisy o ochronie danych osobowych we wszystkich krajach członkowskich. Jednym z kluczowych obszarów szczegółowo uregulowanym w Rozporządzeniu jest instytucja powierzenia przetwarzania danych osobowych w ramach świadczenia usług. Warto bliżej przyjrzeć się przepisom w tym zakresie i wskazać najważniejsze zmiany, na jakie muszą się przygotować przedsiębiorcy do maja 2018 roku, kiedy to przepisy Rozporządzenia będą egzekwowalne.

 

Powierzenie w ustawie o ochronie danych osobowych

Powierzenie uregulowane jest w art. 31 ustawy o ochronie danych osobowych (dalej: Ustawa). Przepis ten przewiduje możliwość zawarcia przez administratora danych (dalej: Powierzającego) umowy, w formie pisemnej, z podmiotem, któremu powierza przetwarzanie danych (dalej: Procesorem), określającej przedmiot, cel powierzenia, zakres przetwarzanych danych osobowych oraz obowiązek wdrożenia zabezpieczeń organizacyjnych i technicznych z rozdziału 5 Ustawy. Ponadto, umowa powierzenia przetwarzania danych osobowych wskazuje na uprawnienia GIODO dotyczące kontroli Procesora, w zakresie wdrożenia w/w zabezpieczeń. Opcjonalnie, powierzający może dołączyć zapisy, dopuszczone przez doktrynę. Mówią one o zabezpieczeniu prawnym Powierzającego przed odpowiedzialnością karną za naruszenie przepisów z rozdziału 8 Ustawy. Dotyczą m.in. uprawnień Powierzającego do kontroli przestrzegania warunków umowy powierzenia przez Procesora, usunięcie lub zwrot przetwarzanych danych osobowych z wszelkich nośników i urządzeń po zakończeniu umowy, kary za naruszenia warunków umowy, obowiązek zgłaszania Powierzającemu przez Procesora wszelkich incydentów lub zdarzeń stwarzających ryzyko naruszenia lub naruszających ochronę przetwarzanych danych osobowych oraz możliwość dalszego powierzenia (dalej: Podpowierzenia) innym podmiotom przetwarzania danych osobowych przez Procesora, za zgodą Powierzającego.

Co istotne, Umowa nie jest obowiązkiem ustawowym, zatem Powierzający może zdecydować się na jej zawarcie, bez ponoszenia konsekwencji prawnych. Pomimo tego, jej brak może stanowić powód odmowy rejestracji zgłoszonego zbioru danych osobowych. GIODO bierze bowiem pod uwagę specyfikę działalności Procesora i najczęściej występujące zagrożenia dla przetwarzanych danych osobowych. Podmiotami, z którymi Powierzający powinien podpisać Umowy, są firmy hostingowe, biura rachunkowe czy podmioty świadczące usługi medyczne (np. laboratoria diagnostyczne), ze względu na kategorie przetwarzanych danych osobowych, aplikacje / programy, sprzęt informatyczny wykorzystywany do przetwarzania oraz związane z tym zagrożenia.

Powierzenie w Rozporządzeniu UE o ochronie danych osobowych

Przez wzgląd na nieustanny rozwój metod i technologii przetwarzania informacji, w tym danych osobowych, oraz związany z tym wzrost zagrożeń, Rozporządzenie zostało skonstruowane tak, aby zapewnić ochronę danych osobowych w kontekście dość powszechnego zautomatyzowania procesów przetwarzania danych osobowych oraz powszechnego zjawiska outsourcingu usług.

Rozporządzenie reguluje powierzenie przetwarzania danych osobowych w art. 28 ust. 1, art. 30 ust. 2, art. 33 ust. 2, art. 35 ust. 1. Artykuły te wprost określają obowiązki Procesora (w Rozporządzeniu – podmiotu przetwarzającego), wśród których są:

  • zagwarantowanie wdrożenia zabezpieczeń technicznych i organizacyjnych spełniających wymogi Rozporządzenia w celu zapewnienia ochrony praw osób, których dane dotyczą (obowiązek ten występuje także w krajowej Ustawie),
  • zobowiązanie upoważnionych pracowników do zachowania tajemnicy lub wskazanie podstawy prawnej obowiązku zachowania tajemnicy (Ustawa wskazuje jedynie na obowiązek zachowania tajemnicy, nie mówi nic o podstawie prawnej),
  • pozyskanie zgody od Powierzającego na Podpowierzenie innemu podmiotowi (dalej: Podprocesor) przetwarzania danych osobowych i związana z tym konieczność wdrożenia przez ten podmiot zabezpieczeń organizacyjnych i technicznych zgodnych z art. 32 Rozporządzenia (nowy obowiązek, dotychczas dopuszczony jedynie w doktrynie),
  • udzielanie pomocy Powierzającemu w zakresie informowania osób, na ich żądanie, o procesie przetwarzania danych osobowych. (nowy obowiązek),
  • udzielanie pomocy Powierzającemu w zakresie zapewnienia realizacji obowiązków, takich jak: wdrożenie zabezpieczeń organizacyjnych i technicznych, szacowanie ryzyka naruszenia ochrony danych osobowych, zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych oraz uprzednie konsultacje z organem nadzorczym (GIODO) związane z oceną skutków naruszenia (nowy obowiązek)
  • umożliwienie Powierzającemu przeprowadzenia kontroli przestrzegania warunków Umowy przez udostępnienie wszelkich niezbędnych informacji (nowy obowiązek, dotychczas dopuszczony jedynie w doktrynie),
  • zwrot lub trwałe usunięcie danych osobowych z wszelkich nośników oraz ich kopi po zakończeniu Umowy, chyba że obowiązujące przepisy prawa zobowiązują do przechowywania danych osobowych (nowy obowiązek, dotychczas dopuszczony jedynie w doktrynie),
  • zgłoszenie Powierzającemu naruszenia ochrony danych osobowych (nowy obowiązek),
  • prowadzenie rejestru czynności przetwarzania danych osobowych (nowy obowiązek),
  • wyznaczenie inspektora ochrony danych (odpowiednik administratora bezpieczeństwa informacji), o ile Procesor jest podmiotem publicznym, przetwarza dane osobowe na dużą skalę lub przetwarza dane osobowe szczególnie chronione (nowy obowiązek).

Co ważne, Rozporządzenie dopuszcza możliwość wykazania wdrożenia wymaganych zabezpieczeń poprzez stosowanie, zatwierdzonych przez organ nadzorczy, kodeksów postępowania dla danej branży (w Polsce znanych jako kodeksy dobrych praktyk) lub zatwierdzenia mechanizmu certyfikacji poświadczającego przestrzeganie przez Procesora przepisów Rozporządzenia.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Skutki wprowadzenia nowych obowiązków dla podmiotu przetwarzającego dane (Procesora)

Rozporządzenie znacznie szerzej określa obowiązki Procesora, z którym Powierzający decyduje się na współpracę, aniżeli wynika to z Ustawy. Rozporządzenie wymaga czynnej współpracy Powierzającego z Procesorem w zakresie wdrożenia zabezpieczeń adekwatnych do prowadzonej działalności i zagrożeń z tym związanych czy dokonywaniu oceny skutków (szacowania ryzyka) naruszenia ochrony danych osobowych. Nowe obowiązki mogą być dla Procesorów znaczącym obciążeniem finansowo-organizacyjnym, ze względu na zakres prac przy wdrożeniu mając na uwadze prowadzoną działalność biznesową i ryzyka z nią związane.                 

Jednym z istotnych obowiązków, które mogą budzić zaniepokojenie przedsiębiorców, jest wymóg umożliwienia sprawdzenia przestrzegania zawartej Umowy. W obecnym systemie prawnym Procesor może nie dopuścić Powierzającego do dokonania sprawdzenia, szczególnie w kontekście spełnienia obowiązków wdrożenia zabezpieczeń, m.in. opracowania i wdrożenia dokumentacji, nadania upoważnień pracownikom. W takiej sytuacji istnieje ryzyko, że gdyby doszło do utraty danych na skutek zaniedbań Procesora, Powierzający będzie zobligowany do poniesienia samodzielnej odpowiedzialności, np. kary grzywny. Przy czym nie będzie mógł dochodzić odszkodowania od Procesora z tytułu naruszenia warunków Umowy. Natomiast wg Rozporządzenia odpowiedzialność rozkłada się solidarnie na obie strony, Procesora i Powierzającego.

Obowiązek prowadzenia rejestru czynności przetwarzania

Kolejnym obowiązkiem, który może być obciążeniem organizacyjnym dla Procesora, jest prowadzenie rejestru czynności przetwarzania danych osobowych (Ustawa mówi o rejestrze zbiorów danych osobowych) w formie pisemnej, w tym elektronicznej. W rejestrze należy zamieścić podstawowe dane o Procesorze, kategorie przetwarzania (m.in. zbieranie, przechowywanie, modyfikowanie) dokonywane w imieniu każdego z Powierzających, dokumentację wdrożonych zabezpieczeń w przypadku przekazywania danych osobowych do państwa trzeciego oraz, jeżeli Procesor ma możliwości, ogólny opis zabezpieczeń. Jednocześnie Rozporządzenie przewiduje zwolnienie z obowiązku prowadzenia rejestru, jeżeli Procesor zatrudnia mniej niż 250 pracowników, z zastrzeżeniem, że przetwarzanie nie niesie ryzyka naruszenia praw i wolności osób, nie są przetwarzane  dane osobowe szczególnie chronione lub przetwarzanie jest sporadyczne. W tym miejscu rodzi się pytanie jak należy rozumieć sporadyczne przetwarzanie. Może chodzić o przetwarzanie danych osobowych w zbiorze doraźnym, w którym dane są przetwarzane ze względów czysto technicznych, przez krótki, wyznaczony okres czasu, po którym są niezwłocznie usuwane. W tej kwestii jednak należy poczekać na interpretację Europejskiej Rady Ochrony Danych, czym jest sporadyczne przetwarzanie.              

Kim jest Inspektor ochrony danych osobowych?

Nowym obowiązkiem dla Procesora wprowadzonym przez Rozporządzenie, jest wyznaczenie inspektora ochrony danych. Obowiązek ten dotyczy wyłącznie organów lub podmiotów publicznych, podmiotów przetwarzających dane osobowe na dużą skalę oraz podmiotów przetwarzających dane osobowe szczególnie chronione. Kwestią sporną pozostaje interpretacja słów „na dużą skalę”, które nie dookreśla, jakimi kryteriami należy kierować się przy ocenie, kiedy mamy do czynienia z przetwarzaniem danych osobowych na dużą skalę. Także i w tej kwestii należy zaczekać na interpretację Europejskiej Rady Ochrony Danych.

Kary administracyjne

Rozporządzenie zniesie przepisy o odpowiedzialności karnej z Ustawy i wprowadzi administracyjne kary pieniężne. Zniesienie przepisów karnych nie wyklucza możliwości wypracowania przez państwa członkowskie własnych regulacji za nieprzestrzeganie przepisów Rozporządzenia. Kraje UE muszą jednak poinformować Komisję o przyjętych przepisach karnych jeszcze przed 25 maja 2018 roku, kiedy to przepisy Rozporządzenia będę stosowane w praktyce.

Podsumowanie

Bez wątpienia Rozporządzenie wprowadza o wiele więcej obowiązków dla podmiotów trudniących się outsourcingiem usług. Sporo jest jednak kwestii, które nasuwają wiele pytań i wymagają doprecyzowania. Jedno można powiedzieć bezsprzecznie — Rozporządzenie wzmacnia rolę Procesorów w procesie przetwarzania danych osobowych i ochrony prywatności osób, co jest odpowiedzią na dynamicznie rozwijający się rynek usług outsourcingowych i związane z tym przekazywanie danych osobowych.   

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Zapraszamy do kontaktu
Tagi: RODO w firmie naruszenia outsourcing przechowywanie hosting
Powiązane posty
Popularne Tagi

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!