Powierzenie przetwarzania danych osobowych. Jakie obowiązki są związane z tym procesem?

Instytucja, jaką jest powierzenie przetwarzania danych osobowych, znana jest od wielu lat. Była ona już przewidziana w poprzednim stanie prawnym, tj. w dyrektywie 95/46/WE, a także w implementującej tę dyrektywę polskiej ustawie o ochronie danych osobowych z dnia 29 sierpnia 1997 roku.

Jak można się łatwo domyślić, RODO nie zlikwidowało tej instytucji i funkcjonuje ona także obecnie. Można nawet zaryzykować twierdzenie, że w dobie coraz powszechniejszego outsourcingu wszelkiego rodzaju usług instytucja ta ma się coraz lepiej, a jej znaczenie wzrasta.

Warto jednak pamiętać, że przepisy RODO przewidują dla administratorów danych określone obowiązki związane z powierzeniem przetwarzania danych osobowych, a ich niespełnienie może skutkować odpowiedzialnością administracyjnoprawną, w tym nałożeniem przez organ nadzorczy administracyjnej kary pieniężnej.

Czym jest powierzenie przetwarzania danych osobowych?

Z powierzeniem przetwarzania danych osobowych mamy do czynienia wówczas, gdy podmiot, który realizuje czynności wiążące się z przetwarzaniem danych osobowych działa w tym zakresie na rzecz innego podmiotu (administratora danych osobowych). Podmiotem przetwarzającym zgodnie z art. 4 pkt 8 RODO jest bowiem osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Administratorem danych jest natomiast podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

W praktyce niezwykle istotne jest w tym względzie odpowiednie zdefiniowanie ról poszczególnych podmiotów biorących udział w operacjach przetwarzania danych osobowych, co niekiedy może przysparzać wielu trudności. Warto pamiętać, że nie w każdym przypadku przekazywanie danych przez administratora danych musi wiązać się z ich powierzeniem. W niektórych przypadkach może bowiem dochodzić do udostępnienia danych (tj. przekazania ich nowemu administratorowi danych).

Udostępnienie danych będzie występowało wówczas, gdy podmiot otrzymujący dane będzie wykorzystywał je do własnych celów (tj. następuje utrata rzeczywistej kontroli nad danymi przez dotychczasowego administratora danych). Trzeba rzecz jasna podkreślić, że przekazanie danych (jak każda operacja realizowana na danych osobowych) musi mieć odpowiednią podstawę. Udostępnienie danych musi opierać się na jednej z podstaw prawnych określonych w art. 6 ust. 1 RODO, a w przypadku szczególnych kategorii danych dodatkowo spełniony musi być jeden z wyjątków przewidzianych w art. 9 ust. 2 RODO.

Powierzenie przetwarzania danych musi mieć natomiast za podstawę umowę lub inny instrument prawny. W przypadku złożonych procesów przetwarzania danych osobowych, w których bierze udział wiele podmiotów, konieczne może być „rozłożenie” poszczególnych operacji na czynniki pierwsze, może bowiem okazać się, że role poszczególnych pomiotów wzajemnie się przenikają.

Przykłady powierzenia przetwarzania danych osobowych w praktyce

Powierzenie przetwarzania danych osobowych ma najczęściej miejsce w sytuacji, w której administrator danych zleca innemu podmiotowi w ramach outsourcingu usług konkretne czynności, które wiążą się z przetwarzaniem danych osobowych. Może to dotyczyć wszystkich operacji wykonywanych na danych osobowych takich jak m.in. zbieranie, utrwalanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

W praktyce może dotyczyć to bardzo wielu sytuacji, niemniej jednak jako typowe przykłady usług związanych z powierzeniem przetwarzania danych osobowych można wskazać m.in.:

  • zewnętrzną obsługę kadrowo-płacową;
  • realizację działań marketingowych na zlecenie administratora danych;
  • obsługę klientów administratora danych;
  • szeroko rozumiany outsourcing usług IT (w tym np. hosting serwerów, obsługa lub wdrażanie systemów IT, serwis sprzętu IT, itp.);
  • przechowywanie lub niszczenie dokumentacji papierowej, lub elektronicznej;
  • prowadzenie działań windykacyjnych na zlecenie administratora danych.

Jeśli dana organizacja nie ustaliła dotychczas jakie procesy wiążą się z powierzeniem przetwarzania danych osobowych, konieczne jest przeprowadzenie prac mających na celu zidentyfikowanie wszystkich procesów przetwarzania danych osobowych realizowanych w tej organizacji. Tylko wówczas możliwe będzie prawidłowe zidentyfikowanie tych procesów, w których występuje powierzenie przetwarzania danych osobowych.

Więcej na temat potrzeby właściwego zidentyfikowania procesów przetwarzania danych osobowych można przeczytać w tekście: Dlaczego należy zidentyfikować procesy przetwarzania danych osobowych w organizacji?

Obowiązek weryfikacji podmiotu przetwarzającego dane (procesora)

Obowiązek weryfikacji podmiotu przetwarzającego dane

Administratorzy danych, którzy decydują się na outsourcing usług związanych z przetwarzaniem danych osobowych, często zapominają o obowiązku wynikającym z art. 28 ust. 1 RODO. Zgodnie z tym przepisem administrator danych powinien korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Przepis ten wprowadza tym samym obowiązek zweryfikowania podmiotu przetwarzającego, zanim dane osobowe zostaną powierzone. Zgodnie z motywem 81 preambuły RODO ocena podmiotu przetwarzającego pod kątem zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych powinna uwzględniać jego wiedzę fachową, wiarygodność i zasoby.

Jak wynika z aktualnego orzecznictwa Prezesa UODO weryfikacja podmiotów przetwarzających dane osobowe powinna mieć charakter sformalizowany, co wydaje się dosyć oczywiste, mając na uwadze obowiązek zapewnienia rozliczalności (art. 5 ust. 2 RODO). Poza tym wypada nadmienić, że taka weryfikacja powinna być przeprowadzona nie tylko przed nawiązaniem współpracy z danym podmiotem. Administrator danych w swoim dobrze pojętym interesie powinien zapewnić, aby weryfikacja była realizowana cyklicznie także w trakcie trwania współpracy z podmiotem przetwarzającym, co ma szczególne znaczenie zwłaszcza w przypadku kluczowych usługodawców (np. odpowiadających za bezpieczeństwo informatyczne, bądź przetwarzających szeroki zakres danych osobowych).

Obowiązek zawarcia umowy powierzenia przetwarzania danych osobowych

Zgodnie z art. 28 ust. 3 RODO przetwarzanie danych osobowych przez podmiot przetwarzający powinno odbywać się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu UE lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora danych oraz określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora danych.

Umowa powierzenia przetwarzania danych osobowych

Umowa powierzenia przetwarzania danych musi przy tym stanowić, że podmiot przetwarzający:

  • przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo UE lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający (w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny);
  • zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
  • podejmuje wszelkie środki wymagane na mocy art. 32 RODO (bezpieczeństwo przetwarzania);
  • przestrzega warunków korzystania z usług innego podmiotu przetwarzającego wynikających z RODO, tj. nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora danych oraz zapewnia, aby na inny podmiot przetwarzający nałożone zostały te same obowiązki ochrony danych jak w umowie między administratorem a podmiotem przetwarzającym;
  • biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO;
  • uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO;
  • po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
  • udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

Powierzenie przetwarzania danych osobowych — pozostałe obowiązki

Warto pamiętać, że powierzenie przetwarzania danych osobowych ma wpływ na realizację innych obowiązków wynikających z przepisów RODO.

1. Analiza ryzyka przy przetwarzaniu danych osobowych

Po pierwsze powierzenie przetwarzania danych osobowych powinno zostać uwzględnione w ramach analizy ryzyka naruszenia praw lub wolności osób fizycznych przy przetwarzaniu danych osobowych. Obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku naruszenia praw lub wolności osób fizycznych spoczywa zarówno na administratorze danych, jak i na podmiocie przetwarzającym dane osobowe.

Należy jednak mieć na uwadze, że obowiązek przeprowadzenia analizy ryzyka i jego oszacowania w celu doboru adekwatnych środków służących zabezpieczeniu danych osobowych w pierwszej kolejności spoczywa na administratorze danych, który odpowiada za zgodność z prawem swoich procesów przetwarzania danych osobowych, a także za dobór właściwych podmiotów przetwarzających dane. Administrator danych powinien być przy tym świadomy, że niewłaściwie przeprowadzona przez podmiot przetwarzający ocena ryzyka nie zwalnia go z odpowiedzialności administracyjnoprawnej.

Przykładowo w decyzji Prezesa UODO z dnia 8 lutego 2023 roku (znak DKN.5131.50.2021) administracyjna kara pieniężna (m. in. za naruszenie obowiązków określonych w art. 32 ust. 1 i 2 RODO) została nałożona zarówno na administratora danych, jak i na podmiot przetwarzający dane (przy czym na administratora danych w zdecydowanie wyższej wysokości). Administratorzy danych powinni tym samym przykładać szczególną wagę do wyboru właściwych podwykonawców, zwłaszcza jeśli podwykonawcy Ci mają odpowiadać za dobór właściwych zabezpieczeń przetwarzanych danych osobowych.

2. Obowiązek informacyjny i rejestrowanie czynności przetwarzania

Poza tym warto także pamiętać, że podmiot przetwarzający dane powinien być traktowany jako odbiorca danych w rozumieniu art. 4 pkt 9 RODO. Informacje o odbiorach danych lub kategoriach odbiorców danych powinny znajdować się natomiast w klauzulach obowiązku informacyjnego (zgodnie z art. 13 ust 1 lit. e RODO i odpowiednio art. 14 ust. 1 lit. e RODO), a także w rejestrze czynności przetwarzania danych (zgodnie z art. 30 ust. 1 lit. d RODO).

3. Ocena skutków dla ochrony danych

Nie jest także wykluczone, że w wyjątkowych przypadkach skorzystanie z usług konkretnego podmiotu przetwarzającego będzie wiązało się z takim rodzajem przetwarzania danych, który ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem będzie mógł powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

W takich przypadkach administrator danych przed rozpoczęciem przetwarzania danych zobowiązany jest dokonać oceny skutków dla ochrony danych. Taka ocena niewątpliwie powinna być dokonana przy udziale podmiotu przetwarzającego, co może być problematyczne w sytuacji, w której nie doszło jeszcze do zawarcia umowy powierzenia przetwarzania danych osobowych (obowiązek pomagania administratorowi danych w wywiązaniu się m.in. z obowiązku określonego w art. 35 RODO powinien wynikać z umowy powierzenia przetwarzania danych).

Powierzenie przetwarzania danych osobowych. Podsumowanie

Powierzenie przetwarzania danych osobowych wiąże się z szeregiem wymogów prawnych określonych w przepisach RODO. Poza obowiązkiem zawarcia umowy powierzenia przetwarzania danych osobowych, która musi zawierać wymagane elementy, należy także pamiętać w szczególności o odpowiednio przeprowadzonej weryfikacji podmiotu przetwarzającego.

Jeśli jesteś zainteresowany wsparciem prawnym przy przygotowaniu umowy powierzenia przetwarzania danych osobowych lub przy przeprowadzeniu wymaganej weryfikacji podmiotu przetwarzającego, zapraszamy do kontaktu. Zachęcamy także do zapoznania się z naszą ofertą bieżącego wsparcia w obszarze ochrony danych osobowych.