Nowe zasady powierzania do przetwarzania danych osobowych - na co muszą zwracać uwagę Administratorzy danych we współpracy ze swoimi kontrahentami?
Autor: Jakub WezgrajData dodania: Kategoria: Rozporządzenie ogólne o ochronie danych osobowych (RODO), Wymogi ustawowe
Aktualnie obowiązująca ustawa o ochronie danych osobowych bardzo ogólnie reguluje instytucję powierzenia do przetwarzania danych osobowych. Jedyny przepis obecnie regulujący tą kwestię, to art. 31 który stanowi m.in. że "Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych".
W praktyce bardzo często dochodzi do przypadków, w których Administratorzy danych powierzają do przetwarzania dane osobowe swoim kontrahentom w ramach zlecania im do realizacji określonych usług (np. obsługa kadrowo-płacowa, doradztwa personalnego, w tym rekrutacji, informatyczna, prawna, marketingowa, usług archiwistyki i niszczenia dokumentacji, a nawet w niektórych przypadkach ochrony mienia etc.). Niestety moja praktyka wskazuje, że nadal większość dostawców usług nie ma zielonego pojęcia o tym, że uzyskując dostęp do danych osobowych swojego zleceniodawcy są prawnie zobowiązani do dochowania odpowiednich wymogów w zakresie ochrony danych osobowych. Sytuacja ta bezpośrednio uderza w bezpieczeństwo prawne Administratorów danych, a także oczywiście w osoby, których dane są przetwarzane.
W 2018 roku sytuacja ta ulegnie zmianie, ponieważ Administratorzy danych będą mieli prawo korzystania z usług tylko takich podmiotów przetwarzające dane na ich zlecenie, które zapewniają przetwarzanie danych w zgodzie z aktualnymi wymaganiami prawnymi.
A wymagania te ulegną znacznemu rozszerzeniu...
Nadchodzą zmiany...
Nowe wymagania dotyczące zasad współpracy Administratorów danych z podmiotami, którym powierzają do przetwarzania dane osobowe (tzw. podmiotami przetwarzającymi) wynikają z ogólnego rozporządzenia o ochronie danych osobowych (RODO lub GDPR), o którym wielokrotnie już pisałem w poprzednich artykułach, a które będzie bezpośrednio stosowane we wszystkich krajach UE począwszy od 25 maja 2018 roku.
Szczegółowe wymagania w tym zakresie reguluje art. 28 GDPR. Warto więc przeanalizować na ile różni się on od art. 31 ustawy o ochronie danych osobowych (który wskazuje aktualne wymagania w tym zakresie), aby wiedzieć co czeka Administratorów danych w sumie już niedalekiej przyszłości.
Powierzenie danych osobowych "dzisiaj"
Aktualnie obowiązujący art. 31 ustawy o ochronie danych osobowych wskazuje jedynie bardzo podstawowe wymagania związane z powierzaniem do przetwarzania danych osobowych.
Zgodnie z tym przepisem:
- Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych (art. 31 ust. 1) - mamy więc obowiązek zawierania umów powierzenia danych w formie papierowej (chyba że strony dysponują kwalifikowanym podpisem elektronicznym - wówczas opatrzenie umowy w formie elektronicznej takim podpisem wywoływałoby skutki prawne tak jak przy zawarciu umowy na piśmie);
- podmiot przetwarzający może przetwarzać powierzone dane osobowe wyłącznie w zakresie i celu przewidzianym w umowie zawartej z Administratorem danych (art. 32 ust. 2) - czyli w umowie tej obligatoryjnie należy wskazać cel w jakim podmiot przetwarzający może wykorzystywać powierzone dane oraz zakres powierzonych danych.
Podmiot przetwarzający dane jest zobligowany ponadto jeszcze przed rozpoczęciem przetwarzania danych do podjęcia środków zabezpieczających dane osobowe, o których mowa w art. 36 - 39 ustawy o ochronie danych osobowych oraz spełnić wymagania określone w art. 39a ustawy. W zakresie przestrzegania tych przepisów podmiot ten ponosi odpowiedzialności jak Administrator danych, czyli w zakresie stosowania tych przepisów może podlegać kontroli GIODO w taki sam sposób jak sam Administrator danych.
W kontekście wzajemnej relacji Administratora danych oraz podmiotu przetwarzającego bardzo ważna jest kwestia ich odpowiedzialności cywilnej w przypadku gdyby podmiot przetwarzający przetwarzał powierzone dane w sposób niezgodny z ustawą lub umową powierzenia danych osobowych.
Ta kwestia jest bardzo często błędnie oceniana przez Administratorów danych, którym wydaje się że w momencie zawarcia umowy powierzenia cała odpowiedzialność za niewłaściwe przetwarzanie powierzonych danych spoczywa już tylko na podmiocie przetwarzającym.
Tak jednak nie jest, co bardzo wyraźnie wskazał m.in. Sąd Apelacyjny w Warszawie w wyroku z dnia 23 września 2015 r., sygn.VI ACa 1357/14:
"Stosownie do treści art. 31 ust. 3 ustawy o ochronie danych osobowych podmiot, któremu administrator danych powierzył w drodze umowy zawartej na piśmie przetwarzanie danych, jest obowiązany, przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające, o których mowa w art. 36 - 39 tejże ustawy oraz spełnić wymagania określone w art. 39a. W zakresie przestrzegania tych przepisów ww. podmiot ponosi odpowiedzialności jak administrator danych. Z kolei przepis art. 31 ust. 4 cytowanej wyżej ustawy stanowi, że odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niegodnie z tą umową. Nie chodzi tu jednak o odpowiedzialność cywilną, ale o odpowiedzialność przed Generalnym Inspektorem Danych osobowych, w zakresie wypełnienia obowiązków z art. 36 - 39 ustawy (...). Natomiast w sytuacji, gdy dochodzi do naruszenia dóbr osobistych osób trzecich, w związku z bezprawnym przetwarzaniem danych, to zarówno administrator jak i podmiot, któremu zlecono przetwarzanie danych odpowiadają na zasadach ogólnych, przewidzianych w kodeksie cywilnym".
Tak więc nawet w obecnym stanie prawnym Administrator danych ponosi na zasadzie ryzyka "odpowiedzialność" za działania podmiotów, które sam sobie dobrał do współpracy, a którym w związku z tą współpracą powierza do przetwarzania dane osobowe.
Warto tą kwestię wziąć sobie do serca, ponieważ z mojej praktyki wynika, że bardzo wielu Administratorów danych nadal nie zawiera nawet umów powierzenia danych (nie będąc świadomym takiego obowiązku, a przecież to właśnie ta umowa gwarantuje im podstawowe bezpieczeństwo prawne). Do tego dochodzi jeszcze brak świadomości Administratorów danych, czy kontrahenci którym powierzają dane osobowe faktycznie dają gwarancję, że będą one przetwarzane zgodnie z ustawą.
Między innymi dlatego praktyka wykształciła pewien kanon zapisów, które powinny znaleźć się w każdej umowie powierzenia danych osobowych (pomimo, że nie są one wprost wymagane na gruncie aktualnych przepisów), a które zapewniają większe bezpieczeństwo Administratorom danych. Standardowo w tego typu umowach, poza wskazaniem zakresu i celu przetwarzania danych osobowych, reguluje się również takie kwestie jak:
- doprecyzowanie w treści umowy jakie konkretnie obowiązki wynikające z ustawy o ochronie danych osobowych musi dopełnić podmiot przetwarzający w związku z uzyskaniem dostępu do danych osobowych (zapis ten stosuje się w umowach pomimo faktu, że obowiązek ich realizacji przez podmiot przetwarzający wynika wprost z treści ustawy, ale proszę mi wierzyć że bardzo wielu kontrahentów ich po prostu nie zna);
- prawo do audytu podmiotu przetwarzającego pod kątem weryfikacji, czy realizuje on wymagania związane z prawidłowym przetwarzaniem powierzonych danych;
- obowiązek zgłaszania Administratorowi danych przez podmiot przetwarzający zaistniałych zdarzeń, które mogą mieć wpływ na bezpieczeństwo powierzonych danych;
- obowiązek złożenia pisemnego oświadczenia o zwrocie/usunięciu wszelkich powierzonych danych osobowych przez podmiot przetwarzający po zakończeniu obowiązywania umowy;
- kary umowne z tytułu naruszenia postanowień umowy powierzenia danych lub obowiązujących przepisów prawa z zakresu ochrony danych osobowych przez podmiot przetwarzający;
- a także wiele innych - w zależności od charakteru świadczonej usługi, zakresu dostępu do danych osobowych, trybu w jaki ten dostęp się odbywa, czy też ogólnie charakteru podmiotu przetwarzającego.
Jak będzie wyglądała współpraca Administratora danych z podmiotem przetwarzającym po wejściu w życie GDPR (RODO)?
Począwszy od 25 maja 2018 roku (a więc od momentu rozpoczęcia stosowania GDPR), Administrator danych będzie mógł korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi GDPR i chroniło prawa osób, których dane dotyczą. W praktyce więc Administrator danych na żądanie organu nadzorczego będzie musiał udowodnić, że podmiot przetwarzający z którego usług korzysta, spełnia te wymagania.
Ponadto zaczną obowiązywać dodatkowe wymagania w zakresie powierzania do przetwarzania danych osobowych, które są wskazane przede wszystkim w art. 28 GDPR jak również w innych (np. art. 29 czy też 30 GDPR, które odnoszą się częściowo do obowiązków podmiotów przetwarzających dane). Poniżej skupiam się na kluczowym w tej kwestii artykule 28.
Podmiot przetwarzający nie będzie mógł korzystać z usług innych podmiotów przy przetwarzaniu powierzonych danych bez wiedzy i zgody Administratora danych
Zgodnie z treścią art. 28 ust. 2 GDPR (RODO):
"Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian".
Przepis ten odnosi się do nieuregulowanej wprost w ustawie o ochronie danych osobowych instytucji "podpowierzenia" danych osobowych (czyli przypadków, w których podmiot przetwarzający korzysta z usług swoich podwykonawców, w ramach których podwykonawcy również muszą uzyskiwać dostęp do danych osobowych).
Przykład: Administrator danych zleca agencji interaktywnej stworzenie dedykowanej strony internetowej do promocji określonego produktu i jednocześnie budowania bazy danych potencjalnych klientów, którzy np. zostawiają tam swoje dane kontaktowe (tzw. landing page). Agencja interaktywna ma się też opiekować stworzoną stroną internetową jak również bazą danych potencjalnych klientów. Tyle tylko, że agencja nie posiada własnych serwerów więc wykupuje usługę hostingu pod stronę www u innego dostawcy. I tu pojawia się nasz "podwykonawca", który w ramach świadczenia usługi hostingu może uzyskiwać dostęp do danych osobowych zbieranych za pośrednictwem strony www. W dodatku o tym "podwykonawcy" może nie wiedzieć Administrator danych, który założył, że całym tym "tematem" zajmie się samodzielnie agencja.
Aktualnie obowiązująca ustawa w ogóle nie odnosi się do przypadków powierzania danych osobowych podwykonawcom podmiotów przetwarzających, co zmusza niejednokrotnie do budowania dosyć złożonych konstrukcji umownych związanych z dalszym powierzaniem danych osobowych.
Zgodnie z treścią ogólnego rozporządzenia o ochronie danych będą możliwe następujące opcje:
- podmiot przetwarzający przetwarza powierzone dane jedynie we własnym zakresie (bez udziału jakichkolwiek podwykonawców);
- podmiot przetwarzający zamierza korzystać z pomocy podwykonawców przy przetwarzaniu powierzonych danych osobowych - i tu ma 2 możliwości:
- za każdym razem gdy zamierza skorzystać z usług konkretnego podwykonawcy - poinformować o tym Administratora danych i poprosić go o zgodę (wówczas będzie to "szczegółowa" zgoda w rozumieniu GDPR bo będzie dotyczyła konkretnego podwykonawcy) lub
- ustalić umownie z Administratorem danych, że ten co do zasady wyraża zgodę na to by podmiot przetwarzający korzystał ze wsparcia innych podmiotów (podwykonawców), ale pod warunkiem, że Administrator danych o takim zamierzeniu będzie informowany z wyprzedzeniem tak żeby miał możliwość ewentualnie sprzeciwić się na skorzystanie z pomocy konkretnego podwykonawcy ( to jest ta "ogólna" zgoda, o której stanowi GDPR). Ale jeżeli tego sprzeciwu nie zgłosi, a był informowany przez podmiot przetwarzający o zamiarze skorzystania z pomocy podwykonawcy, wówczas taki podwykonawca będzie mógł podjąć współpracę z podmiotem przetwarzającym w zakresie przetwarzania powierzonych danych osobowych.
W obu powyższych wypadkach Administrator danych będzie musiał być informowany przez podmiot przetwarzający o wszystkich podwykonawcach, którzy mogą uzyskiwać dostęp do powierzonych danych osobowych. Jest to istotna zmiana względem stanu aktualnego, ponieważ obecnie o takie gwarancje trzeba zabiegać wprowadzając odpowiednie zapisy umowne.
I kolejna "nowość" wynikająca z przepisów GDPR. Jeżeli podmiot przetwarzający będzie korzystał ze wsparcia swoich podwykonawców (oczywiście za zgodą Administratora danych - tą "szczegółową" lub "ogólną"), to podwykonawca z mocy prawa (konkretnie art. 28 ust. 4 GDPR) będzie zobligowany do spełnienia analogicznych wymagań prawnych jak podmiot przetwarzający. Natomiast jeśli naruszy swoje obowiązki, pełną odpowiedzialność względem Administratora danych za jego działania lub zaniechania będzie ponosić podmiot przetwarzający. Tak więc podmiot przetwarzający z mocy prawa będzie ponosić pełną odpowiedzialność względem Administratora danych za swoich podwykonawców.
Dużo szerszy zakres do uregulowania w umowie pomiędzy Administratorem danych a podmiotem przetwarzającym
Zmianie ulegnie również zakres podstawowych zapisów jakie będą musiały się znaleźć w umowie przetwarzania danych. Zgodnie z treścią art. 28 ust. 3 GDPR stanowi, że w umowie tej muszą znaleźć się zobowiązania podmiotu przetwarzającego, zgodnie z którymi:
- przetwarza on dane osobowe wyłącznie na udokumentowane polecenie Administratora danych (co dotyczy też ewentualnego przekazywania danych osobowych do państwa trzeciego, chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający - w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny);
- zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
- podejmuje wszelkie środki wymagane na mocy art. 32 GDPR;
- przestrzega warunków korzystania z usług innego podmiotu przetwarzającego (podwykonawcy), o których była mowa wyżej;
- biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Administratorowi danych poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III GDPR (więcej na temat tych obowiązków przeczytasz w tym ARTYKULE);
- uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi danych wywiązać się z obowiązków określonych w art. 32–36 GDPR (więcej na temat tych obowiązków przeczytasz TUTAJ);
- po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji Administratora danych usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują dalsze przechowywanie tych danych osobowych;
- udostępnia Administratorowi danych wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia Administratorowi lub audytorowi upoważnionemu przez Administratora danych przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
Podstawowym instrumentem prawnym, z którego korzystać będą Administratorzy danych we współpracy z podmiotami przetwarzającymi będzie - podobnie jak ma to miejsce dzisiaj - umowa powierzenia danych. Teoretycznie GDPR przewiduje, że również inne niż umowa "instrumenty prawne" mogą stanowić podstawę do powierzenia danych osobowych. Tyle tylko, że obecnie one nie istnieją i jeżeli mają mieć jakieś zastosowanie w przyszłości, będą je musiały stworzyć poszczególne kraje w ramach swoich ustawodawstw. Ale nawet jeśli powstaną, raczej będą dotyczyły konkretnych sektorów (np. publicznego), a tym samym umowy nadal będą stanowiły podstawowy "instrument prawny" w zakresie powierzania danych.
Na marginesie warto zauważyć, że to co GDPR wymaga jako minimalny zakres już dzisiaj było wprowadzane przez bardziej świadomych Administratorów danych w stosowanych przez nich umowach powierzenia. W tym kontekście zapisy GDPR potwierdzają, że już dzisiaj pomimo aktualnie dużo mniejszych wymogów wobec zapisów umowy powierzenia danych osobowych warto stosować bardziej rozbudowane regulacje - takie które rzeczywiście gwarantują bezpieczeństwo prawne Administratorowi danych (nie wspominając już o bezpieczeństwie prawnym osób, których dane są powierzane do przetwarzania).
Możliwe, że powstaną oficjalne "wzorce" umowy powierzenia danych zgodne z wymaganiami GDPR
Zgodnie z treścią art. 28 ust. 6, 7 i 8 GDPR zapisy umowy powierzenia danych będą mogły się opierać w całości lub w części na standardowych klauzulach umownych, które:
- mogą być określone przez Komisję Europejską lub
- przyjęte przez organ nadzorczy (np. GIODO w Polsce).
Tak więc istnieje szansa, że powstaną wzorcowe propozycje zapisów umownych związanych z powierzeniem do przetwarzania danych osobowych. Na to jednak będziemy musieli jeszcze poczekać.
Forma zawarcia umowy powierzenia według wymagań GDPR
Unijne rozporządzenie o ochronie danych osobowych wskazuje, że umowy powierzenia danych "mają formę pisemną, w tym formę elektroniczną". Tak więc w odróżnieniu od aktualnych wymagań ustawy o ochronie danych osobowych, która wymaga zachowania formy "papierowej" ("na piśmie") w przyszłości będzie istniała możliwość zawierania umów powierzenia danych również w formie elektronicznej, bez potrzeby stosowania kwalifikowanego podpisu elektronicznego (co powinno znacznie usprawnić ten proces zwłaszcza w przypadku powierzania danych osobowych podmiotom świadczącym usługi e-commerce, które standardowo nie zawierają umów w formie "papierowej" ze swoimi klientami, bazując raczej na elektronicznych regulaminach świadczenia usług).
Kluczowe wnioski
Kluczowe wnioski dotyczące zasad współpracy z kontrahentami, którzy mogą uzyskiwać dostęp do danych osobowych Administratora danych są następujące.
Przede wszystkim należy jak najszybciej dokonać przeglądu zawartych i aktualnie obowiązujących umów z kontrahentami pod kątem weryfikacji czy realizowane przez nich usługi są związane z potrzebą powierzenia im do przetwarzania danych osobowych. Jeśli tak, należy koniecznie zweryfikować czy zawarto z nimi umowy powierzenia danych. A jeśli się okaże, że takich umów brakuje mimo, że powinny być zawarte - należy doprowadzić do ich zawarcia z kontrahentami.
Po drugie, należy wprowadzić procedury dające możliwość monitorowania aktualnie zawieranych umów z kontrahentami pod kątem tego czy usługi przez nich świadczone wymagają zawarcia umowy powierzenia. Do "czuwania" nad tym, by w porę wprowadzić zapisy powierzenia danych do umów, które właśnie są negocjowane powinna być wyznaczona konkretna osoba lub osoby (zazwyczaj jest to Administrator Bezpieczeństwa Informacji lub ktoś z obszaru prawnego). Trzeba dopilnować, aby tej osoby nie "omijały" inne komórki organizacyjne podczas negocjowania i zawierania umów z kontrahentami.
Po trzecie, należy obserwować na ile obecni kontrahenci są skłonni do zawierania umów powierzenia danych - na ile sprawiają wrażenie "zaskoczonych" takimi wymaganiami, czy sami je proponują jako element swojej praktyki przy świadczeniu konkretnych usług, czy zawarcie umowy powierzenia powoduje jakieś konflikty, przeciąganie negocjacji, etc. Ponadto warto obserwować, na ile układa nam się współpraca z konkretnym kontrahentem, w tym czy w trakcie świadczenia przez niego usług możemy bezproblemowo komunikować się również w kwestiach ochrony danych osobowych (i czy np. jest w tym zakresie wskazana jakaś konkretna osoba po stronie kontrahenta, np. jego ABI). Wszystko to wskazywać będzie na ile druga strona jest świadoma wymagań prawnych z zakresu ochrony danych osobowych, a więc pośrednio będzie nam dawało obraz na ile takiemu kontrahentowi możemy zaufać.
Pamiętajmy, że gdy zacznie obowiązywać GDPR, Administratorzy danych będą musieli wręcz wykazywać, że kontrahent gwarantuje prawidłowość stosowania wymagań GDPR.
Już dzisiaj wiele firm prowadzi listy sprawdzonych dostawców (kontrahentów). Nie mam wątpliwości co do tego, że gdy zaczniemy stosować unijne rozporządzenie o ochronie danych, zaczną pojawiać się wewnętrzne listy wiarygodnych kontrahentów również w obszarze bezpieczeństwa danych osobowych.
Zobacz usługi ODOeksperta, które pomogą zrealizować ustawowe obowiązki
administrator danych, GDPR, ochrona danych osobowych, podmiot przetwarzający dane, powierzenie danych, processor, RODO, unijne rozporządzenie o ochronie danych, ustawa