Powierzenie przetwarzania danych osobowych

Elementarz RODO
1. Co to są dane osobowe?
2. Przetwarzanie danych osobowych w rozumieniu RODO
3. Kiedy musisz stosować RODO?
4. ADO, czyli administrator danych osobowych
5. Podstawy przetwarzania danych osobowych
6. Zgoda na przetwarzanie danych osobowych
7. Dokumentacja wymagana przez RODO
8. Prawnie uzasadnione interesy realizowane przez administratora
9. Przetwarzanie danych osobowych w celach marketingowych
10. Przetwarzanie wrażliwych danych osobowych
11. Obowiązek informacyjny administratora danych osobowych
12. Inspektor ochrony danych osobowcyh
13. Powierzenie przetwarzania danych osobowych
  1. Co to są dane osobowe?
  2. Przetwarzanie danych osobowych w rozumieniu RODO
  3. Kiedy musisz stosować RODO?
  4. ADO, czyli administrator danych osobowych
  5. Podstawy przetwarzania danych osobowych
  6. Zgoda na przetwarzanie danych osobowych
  7. Dokumentacja wymagana przez RODO
  8. Prawnie uzasadnione interesy realizowane przez administratora
  9. Przetwarzanie danych osobowych w celach marketingowych
  10. Przetwarzanie wrażliwych danych osobowych
  11. Obowiązek informacyjny administratora danych osobowych
  12. Inspektor ochrony danych osobowcyh
  13. Powierzenie przetwarzania danych osobowych

Dosyć często zdarza się, że przedsiębiorca wykonujący operacje na danych osobowych, nie staje się ich administratorem. Pomimo tego, że przetwarza dane, ich administratorem jest ktoś inny. Możliwa jest nawet taka konfiguracja, że podmiot wykonujący wszystkie czynności na danych (od zbierania, poprzez wszelkie operacje związane ze świadczeniem usług osobie, której dane są przetwarzane, aż po usunięcie) w ogóle nie będzie ich administratorem. A jednocześnie administratorem będzie podmiot, który w ogóle nie miał z tym danymi kontaktu. Tego rodzaju sytuacje określa się mianem powierzenia przetwarzania danych osobowych.

Albo administrator, albo podmiot przetwarzający

Mając do czynienia z danymi osobowymi można być albo administratorem, albo podmiotem przetwarzającym dane w imieniu administratora (zwanym również procesorem). Innej możliwość nie ma. Kluczowa jest więc definicja administratora danych określona w RODO[1]Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych. Więcej o administratorze napisałem tutaj, a teraz tylko krótko przypomnę. RODO za administratora uznaje „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych”. Jeżeli więc przetwarzając dane w ramach swojej firmy masz wpływ na to w jakom celu i w jaki sposób dane są przetwarzane, jesteś ich administratorem. Jeżeli nie, a mimo to je przetwarzasz, jesteś jedynie podmiotem przetwarzającym.

Moim ulubionym przykładem obrazującym powyższe rozróżnienie jest organizacja konkursu na zlecenie przez agencję marketingową. Możliwe są bowiem dwie sytuacje – agencja może być zarówno podmiotem przetwarzającym, jak i administratorem. Decydujący jest sposób ułożenia stosunku prawnego pomiędzy zleceniodawcą a agencją w ramach takiej współpracy.

1. Agencja podmiotem przetwarzającym

Jeżeli zleceniodawca, zlecając agencji przeprowadzenie konkursu, dokładnie określi jaki ma być mechanizm konkursu, w tym jakie konkretnie dane uczestników mają być zbierane, a następnie w jaki sposób mają być przetwarzane, to zleceniodawca będzie administratorem. Agencja, wykonując szczegółowe instrukcje administratora, będzie jedynie przetwarzać dane osobowe jako podmiot przetwarzający.

2. Agencja administratorem

Możliwa jest jednak także zgoła odmienna sytuacja. Zleceniodawca może zlecić agencji przeprowadzenie działań marketingowych promujących jego markę, ale niekoniecznie musi interesować go jakie to będą konkretnie aktywności. Jeżeli w takiej sytuacji agencja samodzielnie zdecyduje o organizacji konkursu, określając jego mechanizm oraz to, co będzie działo się z danymi osobowymi uczestników, należy uznać, że to agencja będzie ich administratorem. Nie oznacza to jednak, że zleceniodawca automatycznie będzie podmiotem przetwarzającym – może w ogóle nie mieć dostępu do tych danych osobowych.

Powierzenie przetwarzania danych osobowych

Przetwarzanie danych osobowych w imieniu administratora przyjęło się określać jako powierzenie przetwarzania danych osobowych. RODO nie operuje takim pojęciem, ale było ono obecne w poprzedniej wersji polskiej ustawy o chronię danych osobowych (obowiązującej przed wejściem w życie RODO). Widocznie zakorzeniło się na tyle mocno, że do tej pory jest używane.

Administrator, powierzając przetwarzanie danych osobowych, powinien dopełnić należytej staranności i wybrać podmiot dający pewność przestrzegania odpowiednich standardów. RODO bowiem wymaga od administratora, aby korzystał wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 RODO). Najlepiej pomyśleć o tym na etapie zawierania umowy, o której mowa poniżej. Można w niej zawrzeć stosowne oświadczenia i zobowiązania po stronie podmiotu przetwarzającego.

Umowa powierzenia przetwarzania danych osobowych

RODO stanowi, że „przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora”. Ponieważ w przypadku niewielkich przedsiębiorców w grę wchodzi tylko umowa, to na niej się skoncentruję.

Forma umowy powierzenia przetwarzania danych

Duże wątpliwości budzi forma, w jakiej umowa powinna zostać zawarta. Art. 28 ust. 9 RODO określa, że umowa taka powinna mieć formę „pisemną, w tym elektroniczną”. O ile kwestia formy pisemnej wydaje się jasna, o tyle określenie „forma elektroniczna” sprawia dużo więcej trudności.

Zgodnie z art. 781 kodeksu cywilnego, do zachowania elektronicznej formy czynności prawnej wystarcza złożenie oświadczenia woli w postaci elektronicznej i opatrzenie go kwalifikowanym podpisem elektronicznym. Tymczasem wiele firm zawierając umowy powierzenia przetwarzania danych osobowych, stosuje mechanizm jej akceptacji poprzez kliknięcie przycisku na stronie internetowej. Na podstawie literalnej wykładni tekstu RODO, nie jest to prawidłowe podejście i w takiej sytuacji plik z umową powinien zostać opatrzony kwalifikowanym podpisem elektronicznym.

Wydaje się, że nie taka była intencja unijnego ustawodawcy. Analizując praktykę w innych krajach, umowy powierzenia przetwarzania danych osobowych bez problemu są zawierane przez internet bez uciążliwego obowiązku stosowania kwalifikowanego podpisu elektronicznego. Podejrzewam, że w Polsce problem wynika ze specyficznej definicji formy elektronicznej w polskim prawie i niefortunnego użycia sformułowania „forma elektroniczna” w polskim tłumaczeniu RODO. W innych krajach forma elektroniczna niekoniecznie musi oznaczać konieczność opatrzenia umowy kwalifikowanym podpisem elektronicznym. Wykorzystanie stosunkowo nowego pojęcia formy dokumentowej w polskim prawie, byłoby znacznie lepszym rozwiązaniem i zaoszczędziło by administratorom danych wielu wątpliwości.

Treść umowy powierzenia przetwarzania danych

RODO zawiera też wytyczne w zakresie tego, co musi się znaleźć w umowie powierzenia przetwarzania danych osobowych. Zgodnie z art. 28 ust. 3 Administrator powinien zadbać, żeby umowa określała:

  • przedmiot i czas trwania przetwarzania,
  • charakter i cel przetwarzania,
  • rodzaj danych osobowych oraz kategorie osób, których dane dotyczą,
  • obowiązki i prawa administratora,

a także stanowiła w szczególności, że podmiot przetwarzający:

  • przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający,
  • zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
  • podejmuje wszelkie środki wymagane na mocy art. 32 RODO,
  • przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w art. 28 ust. 2 i 4 RODO,
  • biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO,
  • uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO,
  • po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych,
  • udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

Ponieważ RODO wprowadzając powyższy katalog posługuje się zwrotem „w szczególności”, należy uznać, że jest to jedynie minimalny zakres umowy powierzenia przetwarzania danych osobowych. Administrator, stosownie do sytuacji, powinien zawrzeć w umowie także inne postanowienia, zapewniające odpowiednią ochronę danych osobowych.

Dalszy podmiot przetwarzający

Czasami istnieje potrzeba zaangażowania przez podmiot przetwarzający kolejnych podmiotów przetwarzających, którzy także będą przetwarzać dane osobowe w imieniu administratora. RODO dopuszcza taką możliwość, ale decyzja w tym zakresie zawsze należy do administratora (art 28 ust. 2 RODO). Podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. Natomiast, w przypadku udzielenia ogólnej pisemnej zgody, podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian. Warto rozważyć dodanie do umowy powierzenia przetwarzania danych osobowych stosownych postanowień regulujących korzystanie przez podmiot przetwarzający z dalszych podmiotów przetwarzających.

Jeżeli już dojdzie do korzystania przez procesora z usług dalszego podmiotu przetwarzającego, mają zastosowanie analogiczne zasady, jak w przypadku zaangażowania procesora. Stosowanie do art. 28 ust. 4 RODO, na dalszy podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa powyżej (przy omówieniu treści umowy powierzenia przetwarzania danych osobowych), w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO.

Jeżeli dalszy podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.

Odpowiedzialność podmiotu przetwarzającego

Kary pieniężne

W przypadku naruszeń przez podmiot przetwarzający zasad przetwarzania danych osobowych określonych w RODO, pojawia się pytanie kto ponosi za to odpowiedzialność – administrator czy procesor? A może oba te podmioty?

Na pewno administrator powinien wybrać podmiot przetwarzający z uwzględnieniem kryteriów określonych w art. 28 ust. 1 RODO (opisałem je powyżej). Za tego rodzaju uchybienia administrator naraża się na karę, która może zostać nałożona przez Prezesa Urzędu Ochrony Danych Osobowych.

Jeżeli jednak administrator prawidłowo wybrał podmiot przetwarzający, zawarł z nim odpowiednią umowę, a mimo to, wskutek błędnych działań procesora, dochodzi do naruszenia ochrony danych osobowych, sytuacja nie jest już taka oczywista. Wszystko zależy od sytuacji. Zagadnienie to pojawiało się już w decyzjach Prezesa Urzędu Ochrony Danych Osobowy i orzecznictwie polskich sądów. Przykładowo można wskazać wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 5 października 2021 r. (sygn. akt II SA/Wa 528/21), w którym sąd uznał m. in.: „Dokonanie prawidłowego wyboru podmiotu przetwarzającego dane nie zwalnia administratora całkowicie z obowiązków związanych z przetwarzaniem danych i z odpowiedzialności za ich naruszenie. Nie pozwala jednak na egzekwowanie od administratora całej odpowiedzialności za naruszenie przepisów prawa prowadzących do naruszenia ochrony danych osobowych, powstałego z przyczyn leżących po stronie podmiotu przetwarzającego”. Powyższy wyrok potwierdza, że kwestia ta może być rozstrzygana różnie w zależności od stanu faktycznego. Kluczowe w tym zakresie jest to, jakie są możliwości działania administratora i jaki może mieć faktyczny wpływ na procesora. Im więcej elementów niezależnych od administratora, tym bardziej ciężar odpowiedzialności przesuwa się z administratora na podmiot przetwarzający.

Odszkodowanie dla osoby, której dane dotyczą

Art. 82 ust. 1 RODO przewiduje, że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. W tym zakresie odpowiedzialność może więc ponosić zarówno administrator, jak i procesor. Co więcej, jest to odpowiedzialność solidarna.

Dalej RODO precyzuje, że podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem poleceniami administratora lub wbrew takim poleceniom.

Odpowiedzialność kontraktowa

Podmiot przetwarzający ponosi także odpowiedzialność kontraktową względem administratora szkodę spowodowaną niewykonaniem lub nienależytym wykonaniem zobowiązań określonych w umowie powierzenia przetwarzania danych osobowych. W umowie mogą być również przewidziane kary umowne.

Modyfikacja celów lub sposobów przetwarzania przez procesora

Bardzo ważną kwestią w zakresie odpowiedzialności jest sytuacja, w której podmiot przetwarzający samodzielnie zmieni cele lub sposoby przetwarzania danych osobowych. Zgodnie z art. 28 ust. 10 RODO, w takiej sytuacji będzie uznawany za administratora w odniesieniu do tego przetwarzania, ze wszystkimi konsekwencjami nieprzestrzegania przepisów RODO.

Przykłady powierzenia przetwarzania danych

Na koniec kilka przykładów, kiedy mamy do czynienia z powierzeniem przetwarzania danych osobowych. Pamiętaj, kluczowe jest ustalenie czy podmiot, któremu udostępniasz dane w jakimkolwiek zakresie decyduje o celach lub sposobach przetwarzania danych. Jeżeli tak, staje się ich samodzielnym administratorem. Jeżeli jednak nie, oznacza to, że powierzasz mu przetwarzanie. Mogą to być następujące sytuacje:

  • dostawca usług hostingowych,
  • agencja marketingowa przeprowadzająca akcje promocyjne zgodnie z twoimi wytycznymi,
  • twoi podwykonawcy.

Przypisy

Przypisy
1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych
Tomasz Korolko

Partner

Podobne posty

28 marca 2023

Inspektor ochrony danych osobowcyh

RODO przewiduje funkcję inspektora ochrony danych, którego administrator w określonych sytuacjach powinien powołać. Wyjaśniam kiedy jest to obowiązkowe oraz kogo i jak powołać na to stanowisko, a także jakie stoją przed nim zadania.

Czytaj więcej
Back To Top