Co zmienia RODO – Powierzanie przetwarzania danych

Co zmienia RODO – Powierzanie przetwarzania danych

Umowy powierzenia przetwarzania danych osobowych to masowe zjawisko, dla którego bardzo istotne znaczenie będzie miało wejście w życie od 25 maja unijnego rozporządzenia o ochronie danych osobowych (RODO).

Więcej o tym co zmienia RODO w naszych artykułach: Rejestr czynności przetwarzania danych osobowychPrawo do bycia zapomnianymPrawo do przenoszalności danychZgoda dziecka na przetwarzanie danychObowiązek aktualizowania uzyskanej już raz zgody na przetwarzanie danych.

Powierzenie przetwarzania danych osobowych to nic innego, jak udostępnienie komuś innemu danych osobowych. Udostępnienie, które jest w pełni uregulowane przez administratora – tj. to on decyduje jakie dane udostępnia, w jakim zakresie, po co i w jakim celu. Najistotniejsze jest to, że podmiot trzeci ma przetwarzać te dane osobowe w imieniu administratora.

Do powierzenia przetwarzania danych osobowych dochodzi zarówno w przypadku korzystania przez przedsiębiorcę z zewnętrznej obsługi kadrowo-płacowej, usług hostingu, outsourcingu BHP i archiwizacji dokumentów, ustanowienia profesjonalnego pełnomocnika procesowego do reprezentowania firmy w sporze z byłym pracownikiem czy zlecenia przeprowadzenia akcji marketingowej w oparciu o bazę danych subskrybentów newslettera. Przetwarzanie realizowane w imieniu administratora przez zewnętrzne firmy specjalizujące się w danej branży jest charakterystyczne dla biznesu bowiem pozwala na optymalizację kosztów. Po rozwiązanie to sięgają również podmioty publiczne, choć w mniejszej skali, np. korzystając z usług podmiotów zapewniających niszczenie dokumentów czy usług kurierskich.

Jednym z istotnych problemów związanych z powszechnym sięganiem po outsourcing nadal pozostaje niewystarczająca świadomość, zwłaszcza wśród mikroprzedsiębiorców, konieczności zawarcia – obok umowy na świadczenie usług – także umowy powierzenia przetwarzania.

W porównaniu z dotychczasowymi regulacjami RODO rozszerza katalog elementów, które muszą zostać określone przez strony stosunku powierzenia, a także nakłada na procesora szereg obowiązków, wśród których pojawia się m.in. zobowiązanie podmiotu przetwarzającego do wsparcia administratora w realizacji jego obowiązków odnoszących się np. do notyfikacji naruszeń ochrony danych organowi nadzorczemu oraz podmiotom danych. Zmianom tym towarzyszy zastrzeżenie możliwości działania procesora wyłącznie na udokumentowane polecenie administratora.

Nowe przepisy wyraźnie uzależniają możliwość dalszego podpowierzenia przetwarzania od uprzedniej zgody administratora. Może być ona zarówno:

– szczegółowa – poprzez wskazanie konkretnego, indywidualnie określonego podmiotu przetwarzającego, z którego usług może korzystać procesor;

– jak i ogólna – poprzez określenie warunków, które taki podprocesor musi spełnić.

Jeżeli administrator zdecyduje się wyrazić zgodę ogólną, procesor ma obowiązek informowania go o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia jednych podprocesorów innymi. Otwiera to drogę administratorowi do wyrażenia sprzeciwu wobec takich zmian.

Dotychczasowe przepisy nie wprowadzały też żadnych zasad dotyczących postępowania z danymi po zakończeniu świadczenia usług przez procesora – RODO wychodzi naprzeciw oczekiwaniom i potrzebom rynku w tym zakresie. Teraz zwrot danych lub ich usunięcie będzie zależało od decyzji administratora, którego żądanie będzie dla procesora wiążące, chyba że prawo Unii Europejskiej lub państwa członkowskiego będzie mu nakazywało przechowywanie danych.

Ponadto, jako podstawę powierzenia przetwarzania RODO dopuszcza nie tylko umowę, ale także inny instrument prawny. Pojęcie „inny instrument prawny” nie jest wprost uregulowane przez ogólne rozporządzenie o ochronie danych. W konsekwencji rozumienie tego wyrażenia należy interpretować zgodnie z dostępnymi zasadami wykładni oraz praktyki z dziedziny ochrony danych osobowych. Jak twierdzą niektórzy przedstawiciele doktryny, „inny instrument prawny” dotyczy w szczególności relacji prawnych pomiędzy podmiotami ze sfery prawa publicznego, tj. organów i podmiotów publicznych. Przykładem powierzenia danych osobowych na podstawie innego instrumentu prawnego może być ich przekazanie na podstawie ustawy, rozporządzenia, aktu prawa miejscowego lub wewnętrznych regulacji prawnych grup kapitałowych.

Co teraz powinni zrobić administratorzy danych, którzy powierzyli komuś ich przetwarzanie?

RODO nie zawiera przepisów przejściowych, które regulowałyby w szczególny sposób status umów powierzenia zawartych przed dniem 25 maja 2018 r. Konieczność dostosowania każdej z nich do wymogów wynikających z RODO należy traktować jako obowiązek administratora. Dalsze przedłużenie dotychczasowych umów jest możliwe pod warunkiem zawarcia stosownych aneksów. Konieczna jest także zmiana stosowanych dotychczas wzorów umów powierzenia.

Sankcje

W związku z naruszeniem art. 28 RODO regulującego powierzenie i podpowierzenie danych, odpowiedzialność może ponieść nie tylko administrator, ale także podmiot przetwarzający. Organ nadzorczy może nałożyć na każdego z nich administracyjną karę pieniężną – w przypadku przedsiębiorców w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Może także sięgnąć po uprawnienia naprawcze, zarówno zamiast jak i obok administracyjnej kary pieniężnej i np. nakazać administratorowi i procesorowi dostosowanie operacji przetwarzania do wymogów dotyczących powierzenia, określając sposób i termin jego realizacji (art. 58 ust. 2 lit. d).

Pamiętać także należy, że nie zawarcie umowy powierzenia – wbrew obowiązkowi – stawia pod znakiem zapytania legalność przekazania danych między administratorem a procesorem, a tym samym otwiera drogę do nałożenia na podmioty uczestniczące w takim udostępnieniu administracyjnej kary pieniężnej w najwyższej wysokości – tj. do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

W kolejnym artykule opiszemy co powinna zawierać prawidłowo sporządzona umowa powierzenia wg. RODO. Zapraszamy!

Opublikuj komentarz