Portal prowadzi Kancelaria
Babiaczyk Skrocki i Wspólnicy

Powierzenie danych osobowych zgodnie z RODO

Dane osobowe 21.08.2017

Administratorzy danych osobowych często korzystają z usług innych podmiotów, którym powierzają przetwarzanie danych. Przepisy polskiej ustawy o ochronie danych osobowych nie wskazywały szczegółowych kryteriów jakimi powinien się kierować administrator przy wyborze podmiotu przetwarzającego. Nowe zasady w tym zakresie wprowadza ogólne rozporządzenie o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (dalej zwane również: RODO), zgodnie z którym administrator danych powinien korzystać wyłącznie z usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom określonym w rozporządzeniu. Administrator przed dokonaniem powierzenia powinien się zatem upewnić, że podmiot któremu powierza przetwarzanie będzie stosować środki zapewniające ochronę praw osób fizycznych w związku z przetwarzaniem ich danych osobowych.

Umowa jako podstawa przetwarzania

Przetwarzanie danych osobowych w imieniu administratora może odbywać się wyłącznie na podstawie (1) umowy wiążącej administratora danych oraz podmiot przetwarzający lub na podstawie (2) innego instrumentu prawnego podlegającego prawu Unii lub prawu państwa członkowskiego, które muszą zostać sporządzone w formie pisemnej lub w formie elektronicznej. W umowie powierzenia przetwarzania należy obowiązkowo określić przynajmniej:

  • przedmiot przetwarzania;
  • czas trwania przetwarzania;
  • charakter i cel przetwarzania;
  • rodzaj danych osobowych oraz kategorie osób, których dane dotyczą;
  • obowiązki i prawa administratora.

Standardowe klauzule umowne

Zgodnie z RODO, umowa na podstawie której dochodzi do powierzenie przetwarzania (a więc umowa lub inny instrument prawny) może zostać sformułowana indywidualnie przez strony lub opierać się w całości lub w części na standardowych klauzulach umownych przyjętych przez Komisję Europejską lub organ nadzorczy Państwa Członkowskiego UE zgodnie z mechanizmem spójności.

Obowiązki przetwarzającego

Należy pamiętać o tym, że na podmiocie przetwarzającym ciążą nie tylko zadania nałożone przez umowę z administratorem, ale również obowiązki wynikające wprost z przepisów rozporządzenia. Według postanowień RODO podmiot przetwarzający powinien w miarę możliwości pomagać administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązywać się z obowiązków ochrony danych, a także jest zobowiązany do współpracy z organem nadzorczym.

 

Co istotne, po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora, podmiot przetwarzający ma obowiązek usunąć lub zwrócić administratorowi  wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.

Zgoda na dalsze przetwarzanie

W odróżnieniu od polskiej ustawy o ochronie danych osobowych, RODO przewiduje możliwość dalszego powierzenia przetwarzania. Podmiot przetwarzający dane w imieniu administratora będzie mógł jednak skorzystać z usług innego podmiotu przetwarzającego – zwanego podprocesorem, tylko na podstawie wyrażonej uprzednio pisemnej zgody administratora na tzw. dalsze przetwarzanie. Zgoda może mieć charakter szczegółowy lub ogólny. Zgoda szczegółowa wskazywać będzie konkretnego podprzetwarzającego, natomiast zgoda ogólna będzie miała charakter zgody blankietowej. W przypadku zgody ogólnej, podmiot przetwarzający ma obowiązek poinformowania administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

Rozkład odpowiedzialności

Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO. Jeżeli jednak ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym. Podmiot przetwarzający powinien ponadto zapewnić, by inne osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy. 

Ogólne rozporządzenie o ochronie danych osobowych zacznie obowiązywać 25 maja 2018 r. Najpóźniej do tego czasu administratorzy korzystający z outsourcingu w zakresie przetwarzania danych osobowych, będą musieli zapewnić prawidłowość powierzenie przetwarzania z wymogami rozporządzenia, jednak warto aby już teraz zaczęli wdrażać odpowiednie standardy ochrony danych.  

Karina Wronka
Konsultant prawny w kancelarii BSiW