Co musi wiedzieć podmiot przetwarzający na gruncie rodo?

PODMIOT PRZETWARZAJĄCY

Zgodnie z RODO, przez „podmiot przetwarzający” należy rozumieć osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Pojęcie to nie było dotychczas wprost zdefiniowane w ustawie o ochronie danych osobowych (dalej: UODO), ale art. 31 ust. 1 UODO stanowi, że administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Przyjmuje się, że taki podmiot przetwarza dane w imieniu administratora, co stanowi przejaw tzw. outsourcingu przetwarzania danych. Można zatem stwierdzić, że instytucja powierzenia przetwarzania danych osobowych innemu podmiotowi na gruncie UODO nie ulega co do swojej istoty zmianie na podstawie przepisów RODO. Daleko idące zmiany mają jednak miejsce w zakresie wymogów dotyczących umowy powierzenia przetwarzania danych, jak również zasad odpowiedzialności podmiotu przetwarzającego.

Jako że RODO przenosi ciężar decyzji w zakresie zastosowania odpowiednich i adekwatnych do zagrożeń środków technicznych i organizacyjnych ochrony danych na administratora, administrator posługując się przy przetwarzaniu danych osobowych podmiotem przetwarzającym musi zapewnić, aby podmiot ten stosował tak samo rygorystyczne zabezpieczenia. RODO wskazuje wprost, że jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą. Rękojmię w zakresie tych wymogów administrator musi sobie zapewnić w umowie powierzenia przetwarzania. Nowością jest wskazanie, że może to być także inny instrument prawny aniżeli umowa, byleby podlegał on tak jak umowa powierzenia prawu Unii lub prawu państwa członkowskiego i wiązał podmiot przetwarzający i administratora, określał przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Na chwilę obecną projekt nowej ustawy o ochronie danych osobowych nie przewiduje innych instrumentów prawnych aniżeli umowa, ale może się to w przyszłości zmienić.

Umowa lub inny instrument prawny musi być sporządzony w formie pisemnej, w tym w formie elektronicznej.

 

WYMOGI DOTYCZĄCE UMOWY POWIERZENIA PRZETWARZANIA LUB INNEGO INSTRUMENTU PRAWNEGO

 

RODO zawiera wyliczenie minimalnych wymogów co do treści umowy powierzenia przetwarzania lub innego instrumentu prawnego.

  1. Wymóg przetwarzania danych przez podmiot przetwarzający wyłącznie na udokumentowane polecenie administratora.

Prawo do przetwarzania danych przez podmiot przetwarzający powinno się interpretować w sposób zawężający, co oznacza, że podmiot przetwarzający musi mieć wyraźną podstawę do takiego przetwarzania w postaci udokumentowanego polecenia administratora. Dotyczy to także przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej. Wyjątek stanowi przypadek, w którym obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający – w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny

  1. Zapewnienie zachowania tajemnicy przez osoby upoważnione do przetwarzania danych

Umowa powierzenia przetwarzania lub inny instrument prawny musi zapewniać , by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy. Jest to obowiązek podmiotu przetwarzającego analogiczny do obowiązku, jakim objęty jest administrator w swoich strukturach wewnętrznych.

  1. Obowiązek podejmowania wszelkich środków wymaganych na mocy art. 32 RODO

Podmiot przetwarzający z oczywistych względów musi zapewnić danym osobowym taką samą ochronę, jak to zobowiązany jest uczynić administrator. Zgodnie z art. 32 RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Odpowiedzialność za dobór odpowiednich środków technicznych i organizacyjnych spoczywa zatem nie tylko na administratorze, ale i podmiocie przetwarzającym w zakresie, w jakim przetwarza dane w imieniu administratora.

  1. Wymóg przestrzegania warunków korzystania z usług innych podmiotów przetwarzających

W przypadku korzystania przez podmiot przetwarzający z podwykonawców w zakresie przetwarzania, musi się on zobowiązać, że będzie przestrzegał wymogów RODO w tym zakresie. Skoro administrator musi zapewnić, że podmiot przetwarzający zapewni taki sam konieczny poziom ochrony, to ta sama zasada musi dotyczyć także podwykonawców podmiotu przetwarzającego, a więc dalszych podmiotów przetwarzających. RODO wprowadza szczegółową regulację w tym zakresie. Zgodnie z tymi przepisami, podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian. Administrator ma więc prawo do kontroli w zakresie kręgu podwykonawców podmiotu przetwarzającego. Może udzielić zgody szczegółowej – na przetwarzanie danych przez konkretnego podwykonawcę – lub zgody ogólnej, na korzystanie przez podmiot przetwarzający z podwykonawców. Nawet jednak w przypadku zgody ogólnej, administratorowi przysługuje prawo sprzeciwu wobec wyboru konkretnego podwykonawcy.

Niezależnie od powyższego, podmiot przetwarzający musi się zobowiązać, że na jego podwykonawcę nałożone zostaną – na mocy umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym instrumencie prawnym między administratorem a podmiotem przetwarzającym, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom rozporządzenia. Jeżeli ten podwykonawca podmiotu przetwarzającego nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego podwykonawcy zgodnie z RODO spoczywa na pierwotnym podmiocie przetwarzającym.

  1. Wymóg zobowiązania się przez podmiot przetwarzający do pomocy administratorowi

Z oczywistych względów, między administratorem danych a podmiotem przetwarzającym w ramach outsourcingu przetwarzania musi być zapewniona ścisła współpraca. Administrator w zakresie przetwarzania powierzonego innemu podmiotowi musi od niego uzyskać wszelkie niezbędne wsparcia, w szczególności w zakresie wykonania praw przez osobę, której dane dotyczą. Podmiot przetwarzający musi się zobowiązać, biorąc pod uwagę charakter przetwarzania, że będzie w miarę możliwości pomagać administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO, w tym m. in. prawa dostępu do danych, sprostowania i usuwania, prawa do zapomnienia, do przenoszenia danych, do sprzeciwu etc.

  1. Wymóg pomocy w zakresie wywiązania się przez administratora z obowiązków określonych w art. 32-36 RODO

Podmiot przetwarzający musi współpracować ściśle z administratorem także w razie zaistnienia naruszenia ochrony danych osobowych. Dotyczy to zgłoszenia naruszenia ochrony danych osobowych, jak i zawiadomienia osoby, której dane dotyczą, o naruszeniu.

Współpraca z administratorem obejmuje także przypadki przetwarzania, w których występuje zwiększone ryzyko naruszenia praw lub wolności osób fizycznych.  Zgodnie z RODO, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Jeżeli ocena skutków dla ochrony danych, wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym. W czynnościach tych podmiot przetwarzający musi udzielić wsparcia administratorowi.

  1. Wymóg zobowiązania się do usunięcia danych

Podstawą przetwarzania danych w ramach usługi powierzenia przetwarzania jest umowa lub inny instrument prawny. Po zakończeniu świadczenia usług podmiot przetwarzający powinien, zależnie od decyzji administratora, usunąć lub zwrócić mu wszelkie dane osobowe oraz usunąć wszelkie ich istniejące kopie. Wyjątkiem jest przypadek, gdy prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.

  1. Obowiązek udostępniania informacji administratorowi i umożliwienia audytów

W ramach tzw. zasady rozliczalności, administrator zobowiązany jest udokumentować, że dokonywane przez niego przetwarzanie danych jest zgodne z prawem. Dotyczy to także zgodności z prawem działalności w zakresie przetwarzania podmiotu przetwarzającego. Celem wykonania tego obowiązku przez administratora, podmiot przetwarzający powinien się zobowiązać wszelkie informacje niezbędne do wykazania spełnienia warunków RODO w zakresie powierzenia przetwarzania.

Podmiot przetwarzający musi się także zobowiązać, że umożliwi administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, oraz będzie się do nich przyczyniać. W tym kontekście podmiot przetwarzający jest również zobowiązany poinformować niezwłocznie administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

 

Autor: Aleksandra Błaszczyńska, radca prawny, Departament Własności Intelektualnej

 


CHCESZ DOWIEDZIEĆ SIĘ WIĘCEJ O RODO W TWOJEJ FIRMIE?
Prześlij nam swoje dane kontaktowe, skontaktujemy się.