Wielu administratorów danych osobowych korzysta dziś z outsourcingu z wykorzystaniem swoich danych osobowych. Powierzenie przetwarzania danych osobowych będzie występować zawsze w razie zlecenia innemu podmiotowi wykonania własnych zadań, związanych z przetwarzaniem danych osobowych w zakresie i celu określonym przez tego administratora danych. Przykładem może być zlecenie stworzenia i utrzymania rozwiązań informatycznych przetwarzających dane - firma informatyczna musi mieć dostęp do danych w celu utrzymania systemu, podejmowania interwencji. Kolejny przykład - agencje pracy pośredniczące w zatrudnianiu lub wyszukujące dla firm pracowników. Inny przykład - zlecenie wykonania kampanii marketingowej, ankiety telefonicznej z wykorzystaniem przekazanych adresów e-mail, numerów telefonów. Istotne przy tym wszystkim jest to, że podmiot przetwarzający (procesor) nie staje się administratorem danych osobowych. Dlaczego istotne? Ponieważ w związku z tym nie ma obowiązków informacyjnych związanych z zebraniem danych. Wynika to zarówno z ustawy o ochronie danych osobowych z 1997 r. jak i z RODO/GDPR. Oczywiście można na podmiot przetwarzający przełożyć obowiązek informacyjny (np. w razie zbierania danych), ale ten obowiązek informacyjny będzie wykonany przez procesora w imieniu zlecającego (administratora danych), a nie swoim.
Dzisiejsza ustawa o ochronie danych osobowych reguluje kwestie powierzenia danych w artykule 31. Regulację tę można podsumować następująco:
- umowa powierzenia musi być zawarta na piśmie (z drobnymi wyjątkami dotyczącymi organów państwowych, samorządowych)
- podmiot przetwarzający może przetwarzać dane wyłącznie w celu i zakresie przewidzianym w umowie
- podmiot przetwarzający dane musi przed rozpoczęciem przetwarzania spełnić wymogi z artykułów 36-39a
- poza podmiotem przetwarzającym, to administrator danych odpowiada za przestrzeganie przepisów niniejszej ustawy
Dziś w praktyce umowy powierzenia danych osobowych określa się osobnym paragrafem w umowach lub aneksem. Poza wymienionymi wyżej elementami dodaje się zapisy biznesowe - związane np. z karami umownymi, obowiązkami wzajemnego informowania o roszczeniach osób których dane są przetwarzane, z protokołami przekazania i usunięcia danych itp.
RODO w kwestiach powierzenia danych osobowych idzie znacznie dalej. Obowiązki z tym związane określone są w art. 28 RODO/GDPR.
- zlecający może korzystać tylko z usług podmiotów spełniających wymagania GDPR
- dalsze powierzenie wymaga zawsze ogólnej lub szczegółowej zgody administratora danych
- w przypadku zgody ogólnej na dalsze powierzenie procesor musi zawsze informować ADO o zmianach dalszytch podmiotów, dając tym samym możliwość wyrażenia sprzeciwu przez ADO
- dane powierza się w drodze umowy zawartej na piśmie, w tym elektronicznie
- umowa powierzenia musi zawierać: przedmiot, czas trwania, charakter, cel przetwarzania; rodzaj przetwarzanych danych osobowych; kategorie osób których dotyczy przetwarzanie; obowiązki i prawa administratora danych; oświadczenie procesora, że przetwarzanie następuje na wyłączne polecenie ADO; zapewnienie procesora dotyczące zachowania przez upoważnione osoby tajemnicy; zobowiązanie procesora wdrożenia odpowiednich zabezpieczeń; zobowiązanie procesora do przestrzegania przepisów dotyczących dalszego powierzenia; zobowiązanie procesora do pomocy spełniania przez ADO obowiązków informacyjnych wobec osób których dane dotyczą; zobowiązanie do pomocy administratorowi wypełnienia innych obowiązków z RODO (art. 32-36); zobowiązanie procesora do usunięcia danych po ustaniu lub rozwiązaniu umowy powierzenia; zobowiązanie procesora do udzielania ADO wszelkich informacji pozwalających wykazać spełnienie niniejszych wymagań; zobowiązanie procesora do dopuszczenia ADO do wykonywania audytu
- dalsze powierzenie wymaga zawarcia analogicznych umów jak ta pierwsza umowa ADO z procesorem, przy czym za niespełnienie wymagań odpowiada pierwszy podmiot, któremu powierzono przetwarzanie danych
- administrator danych oraz wszyscy procesorzy odpowiadają wobec osób, których dane dotyczą solidarnie (art. 82 ust. 4) z możliwością wzajemnych regresów
Musicie przyznać, że ilość nowości jest imponująca.
Do 25 maja 2018 r. należało będzie zrobić przegląd wszystkich umów powierzenia (lub powierzeń bez umów powierzenia). Trzeba będzie zawrzeć odpowiednie umowy lub aneksować istniejące. Warto zwrócić także uwagę na jedną oczywistą sprzeczność wynikającą z RODO, która mocno utrudni życie ADO i podmiotów przetwarzających. Umowa powierzenia może być zawarta elektronicznie, tymczasem ogólna lub szczegółowa zgoda na dalsze powierzenie może mieć tylko formę pisemną - art. 28 ust. 2 RODO vs ust. 9.