Powierzenie przetwarzania danych, tudzież udostępnienie danych osobowych to zakres, który budzi wśród Administratorów Danych Osobowych nie tylko sporo obaw i wątpliwości, ale również poprzez często błędnie interpretowany kontekst obszar jaki tworzy niezgodności podczas prowadzonych przez nas audytów. Pierwszym z założeń poprawnej interpretacji udostępniania danych innym podmiotom, powinna być weryfikacja wynikająca z artykułu 28 RODO i określenie czy powierzenie ma wynikać z umowy czy z tzw. innego instrumentu prawnego. Co do zasady właściwe będzie też odniesienie się do właściwego określenia obu stron oraz ich roli. Z jednej strony Administratora Danych Osobowych, który decyduje o celach, środkach i formach przetwarzania danych osobowych, a z drugiej podmiotu przetwarzającego określanego również procesorem, który wykonuje zadania dla Administratora Danych Osobowych lub dla własnych celów. Choć obszar ten brzmi dość zawile, wyjaśnię go na kilku przykładach, odnosząc się również do najczęściej spotykanych kontekstów oraz realnych sytuacji.
Klasyczne powierzanie przetwarzania danych, a zatem podpisanie właściwej umowy powierzenia przetwarzania danych, będzie wymagane gdy procesor przetwarza dane dla celów, które określił zlecający mu zadanie Administrator Danych Osobowych. Dla przykładu wymóg taki będzie dotyczył firm hostingowych, szkoleniowych, doradczych, księgowych, kadrowych oraz innych zajmujących się administracyjną obsługą Administratora Danych Osobowych. Firmy te, najczęściej działające jako podmioty prywatne, są wzorcowym przykładem gdzie umowę powierzenia przetwarzania danych zawrzeć należy. Co istotne za nawiązanie umowy odpowiada Administrator Danych Osobowych, a nie procesor otrzymujący dane, choć w niektórych przypadkach przygotowanie jej przez niego będzie zasadne. Niemniej zapisy umowy powierzenia przetwarzania danych powinny zostać zweryfikowane przez Administratora Danych Osobowych, lub Inspektora Ochrony Danych w kontekście zawarcia w niej, wszystkich zapisów i wymagań nałożonych na obie strony przez RODO. Warto także zwrócić uwagę na to aby w umowie powierzenia przetwarzania nie pojawiały się zapisy niekorzystne dla którejś ze stron, zarówno mające błędy w rozumieniu prawa, ale także zniechęcające lub utrudniające korzystanie z przysługujących danej stronie umowy praw. Umowa powierzenia może funkcjonować jako odrębny dokument stanowiący załącznik do umowy głównej lub stanowić jej część.
Kolejny aspekt to przekazanie danych osobowych. Temat ten należy rozpatrzyć w dwóch nieco różnych płaszczyznach. Pierwszej – przekazania danych na podstawie przepisu prawa, czyli tzw. innego instrumentu prawnego – przykładowo przesłanie danych do Zakładu Ubezpieczeń Społecznych, Urzędu Skarbowego, Organu Zarządzającego danym podmiotem itp.. W tym przypadku nawiązanie umowy powierzenia jest nie tylko błędem, ale także tworzącym zbędną biurokrację przerostem formy nad treścią, tłumaczonym najczęściej jako działanie – “na wszelki wypadek”. Swoją drogą “wyjątkowo upartym” poleca się próbę nawiązania umowy powierzenia np. z którymś z wymienionych urzędów, odpowiedź powinna dać wiele do myślenia. Działanie takie nie wymaga zatem nawiązywania umowy powierzenia przetwarzania, natomiast sam fakt udostępnienia danych warto zawrzeć w prowadzonym w instytucji, zgodnie z art. 30 RODO właściwym rejestrze czynności/kategorii, wskazując przy okazji właściwą dla kontekstu podstawę prawną. Istotne interpretacje dotyczące braku konieczności nawiązywania umowy powierzenia przetwarzania, a dotyczące dwóch mocno dyskusyjnych obszarów, w zakresie braku konieczności nawiązywania umowy powierzenia przetwarzania wydał także Prezes Urzędu Ochrony Danych, gdzie jako odrębnego Administratora Danych Osobowych traktuje się zarówno podmioty świadczące usługi medycyny pracy oraz doradztwo w zakresie obsługi radcy prawnego. Jest to słuszna koncepcja, z uwagi na fakt, iż jako podmiot przetwarzający instytucje te musiałyby podporządkować się decyzjom Administratora Danych Osobowych, co mogło by powodować tzw. konflikt interesów.
Drugą formą jest przekazanie danych w celu realizacji umowy, które to z kolei ma dwa bardzo ważne wyznaczniki. Częstszy gdzie nie zachodzi kontekst powierzenia przetwarzania danych osobowych – przykładowo przekazanie korespondencji firmie kurierskiej. Działanie takie nazywane jest także udostępnieniem w celu realizacji umowy. W tym przypadku instytucja realizująca zadanie jest odrębnym Administratorem Danych Osobowych i zgodnie z RODO odpowiada za właściwe procesy i zabezpieczenia przetwarzanych danych, opierając swoje działania na własnych przepisach prawnych. Z racji wielu różnych podmiotów realizujących możliwe do wykonania zadania, obowiązkiem Administratora Danych Osobowych jest ocena potencjalnego usługodawcy co do właściwego zabezpieczenia powierzonych kontrahentowi informacji. Zdecydowanie rzadszą formą jest współpraca polegająca na przyjęciu dokumentów do obiegu – odbieraniu ich zwrotów, weryfikacji prawidłowości oraz przekazaniu z powrotem do nadawcy. W tym przypadku zachodzi kontekst powierzenia przetwarzania danych i podpisanie umowy w tym zakresie będzie zasadne
Co ważne, w każdym z rozpatrywanych przypadków, Administrator Danych Osobowych nie jest zwolniony z odpowiedzialności za dane jakie mogą znaleźć się w przekazanych informacjach, dla przykładu – firma kurierska odpowiada za dane teleadresowe zawarte na przesyłce, ale już nie za dane zawarte w samej przesyłce np. przesłanym liście zawierającym np. orzeczenie o stopniu niepełnosprawności. Warto także zwrócić uwagę na konieczną minimalizację przekazywanych danych i ograniczenie ich wyłącznie do zakresu niezbędnego do realizacji właściwej umowy.
Najczęściej spotykane błędy dotyczące powierzenia przetwarzania, podczas audytów to:
1. Nawiązanie umowy mimo obecnego przepisu prawa nakazującego przekazanie danych, na podstawie innego instrumentu prawnego,
2. Brak wszystkich wymaganych zapisów w treści umowy zgodnie z artykułem 28 RODO,
3. Błędne określenie roli Administratora Danych Osobowych i Procesora,
4. Brak nawiązania umowy powierzenia przetwarzania danych mimo obowiązku jej zawarcia.
Jeśli jesteś zainteresowany opracowaniem wymaganej dokumentacji monitoringu zgodnego z RODO oraz/lub pełnieniem przez nas funkcji Inspektora Ochrony Danych – skontaktuj się z naszym biurem.
Zapraszamy Cię również do naszego bezpłatnego newslettera – Poradnika Pracodawcy – w którym omawiamy zagadnienia z zakresu bezpieczeństwa i higieny pracy, ochrony przeciwpożarowej, pierwszej pomocy, ochrony danych osobowych i kadr. Zapisać się do newslettera możesz TUTAJ. Jeżeli sam planujesz dystrybucję własnego newslettera, polecamy polskiego dostawcę, z którego usług sami korzystamy – Getresponse – zapewniającego nie tylko świetne narzędzie ale także perfekcyjną obsługę klienta.
Opracowanie – Marek Mróz
Manager Bezpieczeństwa Informacji / Inspektor Ochrony Danych
Niniejszy wpis nie jest sponsorowany. Poniżej zamieszczamy ciekawe linki afiliacyjne do wartościowych książek o ochronie danych osobowych oraz usług hostingowych jakie polecamy. Dokonując z nich zakupu, wesprzesz rozwój naszego poradnika. Dziękujemy.
Usługi Data Center – IQ PL Sp. z o.o. – zamówisz tutaj,
Ochrona Danych Medycznych i Osobowych Pacjentów – kupisz tutaj,
Ochrona Danych Osobowych – Poradnik dla Przedsiębiorców – kupisz tutaj,
Bezpieczeństwo aplikacji mobilnych – kupisz tutaj,
Informatyka Śledcza – kupisz tutaj,
Profesjonalne testy penetracyjne – kupisz tutaj.