Wejście w życie rozporządzenia RODO ustanowiło nowe standardy przetwarzania danych osobowych oraz ich ochrony. Uzupełniło także luki obecne we wcześniejszych przepisach, systematyzując wiele zagadnień, w tym podpowierzanie przetwarzania danych osobowych. Kto i kiedy może zdecydować się na outsourcing czynności przetwarzania danych osobowych? Kiedy takie działanie można uznać za nielegalne i co wtedy?
Kto decyduje o powierzeniu (podpowierzeniu) przetwarzania danych?
Zasadniczo prawa i obowiązki związane z przetwarzaniem danych osobowych spoczywają na administratorze. Może on być jeden lub może być ich kilku (tzw. współadministrowanie), ale zawsze pojęcie przetwarzania należy rozumieć w taki sam sposób.
Stosownie do art. 4 pkt 7 rozporządzenia RODO administrator to osoba fizyczna, prawna lub jednostka organizacyjna, która samodzielne lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych osobowych. Zadaniem administratora jest zapewnienie, aby przetwarzanie danych było zgodne z przepisami rozporządzenia, a osoby, których dane dotyczą miały przyznane wszystkie prawa i gwarancje.
W praktyce często bywa jednak tak, że administrator danych (np. spółka z o.o.) musi powierzyć przetwarzanie danych osobowych innym podmiotom, aby móc sprawnie funkcjonować. Takimi procesorami mogą być np. firmy kurierskie, specjaliści z zakresu IT czy biura rachunkowe. Kluczowe znaczenie dla przetwarzania danych ma to, że procesor może zarządzać danymi osobowymi wyłącznie w zakresie wskazanym przez administratora. Jeżeli ten zakres przekracza, zaczyna działać niezgodnie z regulacją RODO.
A co z podpowierzeniem przetwarzania danych? Na czym ono polega? Podpowierzenie to nic innego, jak outsourcing usług realizowanych przez procesora na podprocesora, czyli podmiot również realizujący zadania związane z powierzeniem, ale wybrany przez przetwarzającego za uprzednią zgodą administratora. W tym przypadku obowiązują podobne ograniczenia, jak w przypadku klasycznego powierzenia.
Sprawdź również: Wzór umowy powierzenia przetwarzania danych osobowych w zakresie realizowanego projektu IT
Zamów wzory umów IT!
-
Umowa ramowa na świadczenie usług programistycznych z zamówieniami [PL/EN]
599,00 zł – 799,00 zł (z VAT) -
Promocja!
Pakiet wzorów umów dla software house’u/firmy IT [PL/EN]
1199,00 zł – 1999,00 zł (z VAT)Ostatnia najniższa cena przed zastosowaniem obniżki ceny: 1199,00 zł.
Jak wybierać podmiot przetwarzający lub podprocesora?
Rozporządzenie RODO nie wskazuje konkretnych wymagań, jakie muszą spełniać procesorzy lub subprocesorzy danych osobowych. Warto jednak zwrócić na motywy RODO, które tworzą kontekst dla rozporządzenia. Podążając za argumentacją unijnego ustawodawcy, administratorzy danych powinni nawiązywać współpracę wyłącznie z podmiotami, które zapewniają wystarczające gwarancje dotyczące:
- wiedzy;
- fachowości;
- wiarygodności;
- zasobów technologicznych.
Te wymagania należy rozumieć jako możliwość wdrożenia rozwiązań technicznych i organizacyjnych gwarantujących spełnienie wymagań rozporządzenia. Przy wyborze można kierować się stosowaniem przez podmiot przetwarzający zatwierdzonych mechanizmów certyfikacji lub kodeksów postępowania. Dodatkowo oczekuje się, że takie relacje zostaną utrwalone przez umowę lub podobny instrument prawny.
Umowa PPDO – o czym musisz pamiętać?
Należy pamiętać, że umowa o podpowierzenie przetwarzania danych osobowych może zostać zawarta wyłącznie w sytuacji, kiedy administrator wyrazi na to zgodę, przy czym przepisy wymagają zachowania formy pisemnej lub elektronicznej opatrzonej bezpiecznym podpisem elektronicznym.
Oczywiście zgodę będzie wyrażał organ (jego członkowie) albo wspólnicy uprawnieni do reprezentacji danej jednostki. W przypadku spółki z o.o. lub akcyjnej będzie to więc zarząd. Można skłaniać się do interpretacji, zgodnie z który niedochowanie jednej z powyższych form czynności prawnej prowadzi do naruszenia przepisów rozporządzenia i udostępnienia danych do przetwarzania bez podstawy prawnej. Wiąże się to z ryzykiem poważnych konsekwencji prawnych.
Jakie elementy powinna zawierać umowa PPDO – (pod)powierzenia przetwarzania danych osobowych?
Podstawą do zawarcia umowy o powierzeniu przetwarzania danych osobowych jest art. 28 RODO, zaś w przypadku podpowierzenia – art. 28 ust. 4 RODO. W obu przypadkach umowa między administratorem danych osobowych a procesorem lub podprocesorem powinna zawierać następujące postanowienia i gwarancje:
- przetwarzanie danych osobowych przez procesora może nastąpić wyłącznie na mocy udokumentowanego polecenia administratora, chyba że taki obowiązek nakłada na niego prawo Unii Europejskiej lub państwa członkowskiego;
- procesor zapewnia, że osoby upoważnione do przetwarzania danych osobowych w jego imieniu zobowiążą się do zachowania tajemnicy;
- podmiot przetwarzający zapewnia odpowiednio wysoki poziom bezpieczeństwa przetwarzania danych osobowych, np. poprzez ich pseudonimizację i szyfrowanie danych, zachowanie poufności, integralności i odporności systemów informatycznych czy testowanie, mierzenie i ocenianie stosowanych środków bezpieczeństwa;
- procesor przestrzega warunków współpracy z podprocesorem (np. w zakresie celu przetwarzania danych);
- procesor (podprocesor) pomaga administratorowi w wypełnianiu jego obowiązków w zakresie realizacji uprawnień osób, których dane dotyczą;
- po zakończeniu usług procesor – w zależności od ustaleń z administratorem – usuwa wszystkie dane osobowe oraz ich kopie albo zwraca je, chyba nakaz ich przechowywania wynika wprost z przepisów prawa Unii lub państwa członkowskiego;
- kontrakt powinien przewidywać warunki współpracy między procesorem (subprocesorem) a administratorem umożliwiające temu ostatniemu wykonywanie ciążących na nim obowiązków nadzorczych, w tym przeprowadzania audytów i inspekcji.
Trzeba pamiętać, że nie ma jednego, uniwersalnego modelu umowy między procesorem a administratorem. Treść takiego kontraktu powinna być każdorazowo negocjowana i ustalana indywidualnie. W praktyce jednak umowa z procesorem i podprocesorem będzie wyglądała podobnie i nałoży na subprocesora podobne ograniczenia. Jeżeli strony nie chcą negocjować warunków umowy indywidualnie, mogą skorzystać ze standardowych klauzul zaproponowanych przez Komisję Europejską lub lokalny organ nadzorczy. Trzeba jednak zdawać sobie sprawę, że nie muszą one rozwiewać wszystkich wątpliwości.
W treści umowy należy bezwzględnie zadbać o wskazanie, że administrator danych osobowych musi wyrazić zgodę na zmianę podmiotu podprocesora przez procesora oraz, że ma on prawo do żądania dokumentów potwierdzających doświadczenie, kompetencje oraz posiadane przez subprocesora zasoby.
Kto ponosi odpowiedzialność za uchybienia subprocesora?
W praktyce może dojść do sytuacji, kiedy podmiot realizujący obowiązki subprocesora dopuści się uchybienia ciążących na nim obowiązków. W takim przypadku odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym. Dlatego tak ważne jest, aby dobierać do współpracy podmioty o możliwych do zweryfikowania kompetencjach oraz renomie. Zabezpiecza to nie tylko administratora danych, ale także procesora przed skutkami naruszenia przepisów RODO.
Kto zgłasza incydent naruszenia RODO do organu nadzorczego?
Mogłoby się wydawać, że skoro administrator korzysta z usług procesora, aby przetwarzać dane osobowe, to obowiązek zgłoszenia naruszenia w tym zakresie spoczywa właśnie na procesorze. Tak naprawdę wygląda to zupełnie inaczej.
Stosownie do brzmienia art. 33 RODO w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin od stwierdzenia naruszenia – zgłasza to naruszenie organowi nadzorczemu składając pisemne wyjaśnienia, chyba że jest mało prawdopodobne, aby naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
W sytuacji zaś, kiedy administrator korzysta z usług procesora, podmiot przetwarzający przekazuje informacje o naruszeniu administratorowi (nie organowi nadzorczemu). Warto wskazać w umowie sposób oraz termin w jakich powinno nastąpić przekazanie stosownej informacji.
Sprawdź również: Audyt umów B2B – nie czekaj, aż kontrola zapuka do drzwi!
Umowa powierzenia i podpowierzenia przetwarzania danych osobowych – Kancelaria Linke Kulicki
Planujesz powierzyć w swojej organizacji przetwarzanie części danych procesorowi lub subprocesorowi? A może świadczysz usługi, które wymagają przetwarzania danych, których administratorem jest Twój klient? Skorzystaj ze wsparcia wykwalifikowanych prawników z Kancelarii Linke Kulicki. Opracowujemy dla Ciebie umowę powierzenia oraz podpowierzenia przetwarzania danych osobowych z uwzględnieniem specyfiki prowadzonej przez administratora działalności oraz technologicznych możliwości procesora. Przeprowadzimy w tym zakresie audyt bezpieczeństwa oraz compliance i zweryfikujemy czy obowiązujące kontrakty nie stwarzają ryzyka prawnego.
Potrzebujesz wsparcia prawnika IT? Napisz do mnie!
Administratorem danych osobowych jest Linke Kulicki Education sp. z o.o. z siedzibą w Warszawie, ul. Ogrodowa 31 / lok. 54, 00-893 Warszawa, NIP 1182211564, KRS 0000852943 („Administrator”). Pana/Pani dane będą przetwarzane w celach marketingowych oraz w celu przekazywania Pani/Panu informacji handlowych drogą elektroniczną. Pana/Pani dane zostaną usunięte po odwołaniu zgody lub po zakończeniu prowadzenia działań marketingowych lub wysyłki informacji handlowych przez Administratora. Pana/Pani dane będą powierzane podmiotom trzecim na podstawie stosownych umów powierzenia przetwarzania danych osobowych w celu przechowywania danych osobowych na serwerze, skrzynce pocztowej oraz korzystania z usług wsparcia IT. Podstawą przetwarzania danych jest zgoda. W związku z przetwarzaniem danych osobowych ma Pan/Pani prawo do dostępu do swoich danych, sprostowania danych osobowych, usunięcia danych osobowych, wniesienia sprzeciwu, przenoszenia danych, ograniczenia przetwarzania, odwołania zgody, dostępu do informacji jakie dane Administrator przetwarza, złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Przedmiotowe uprawnienia można zrealizować poprzez kontakt z Administratorem na adres e-mail: biuro@linkekulicki.pl. Pani/Pana dane będą przekazywane poza UE oraz nie będą wykorzystywane do zautomatyzowanego podejmowania decyzji ani profilowania. Administrator potrzebuje Pana/Pani Danych Osobowych aby zrealizować wskazany cel przetwarzania, podanie danych osobowych jest dobrowolne jednak w przeciwnym wypadku podane cele nie będą mogły być zrealizowane.