dane osobowe, ochrona danych osobowych, powierzenie, procesor
Ustawa o ochronie danych osobowych przewiduje możliwość wykonywania czynności przetwarzania danych samodzielnie przez ich administratora oraz z wykorzystaniem podmiotu trzeciego. Podmiot przetwarzający (zwany także procesorem) uzyskuje dostęp do danych i wykonuje na nich pewne operacje, ale nie staje się ich administratorem. Powierzenie przetwarzania danych, choćby nawet oznaczało outsourcing wszystkich procesów przetwarzania, nie doprowadzi do utraty statusu administratora danych osobowych. Zdarzają się sytuacje, w których zewnętrzne podmioty zbierają dane dla administratora, opracowują je i modyfikują, a następnie usuwają, nie przekazując ich administratorowi. Nie zmienia to jednak faktu, że ustawa przyznaje status administratora temu podmiotowi, który decyduje o celach i środkach przetwarzania, a nie temu, który przetwarza dane jedynie na zlecenie administratora. Przykładami przypadków, które zgodnie z ustawą wymagają podpisania umów powierzenia mogą być zlecenia: stałej obsługi prawnej lub księgowej, obsługi informatycznej, świadczenia usług marketingowych, niszczenie dokumentów, hostingu.
Warunki powierzenia
Zgodnie z art. 31 ustawy o ochronie danych osobowych warunkiem prawidłowego powierzenia przetwarzania jest zawarcie umowy na piśmie. Procesor może powierzone dane przetwarzać wyłącznie w celu i zakresie określonych w takiej pisemnej umowie. Ponadto, zgodnie z ustawą, obowiązkiem podmiotu przetwarzającego jest podjęcie przed rozpoczęciem przetwarzania środków zabezpieczających zbiór ujętych w rozdziale dotyczącym zabezpieczenia danych osobowych oraz opracowanie i wdrożenie dokumentacji zgodnie z wymogami rozporządzenia. W zakresie przestrzegania tych przepisów procesor ponosi odpowiedzialność jak administrator danych.
Takie podejście ustawodawcy do kwestii przetwarzania danych osobowych jest zrozumiałe. Skoro administrator danych sam musi wdrożyć szereg środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych, także podmiot, któremu dane powierzone są do przetwarzania powinien te zabezpieczenia utrzymywać. Dzięki temu, w przypadku outsourcingu usług, zachowana zostaje pewna ciągłość zabezpieczeń.
Dodatkowe elementy umów powierzenia
Konstruując umowy powierzenia warto zwrócić uwagę na kilka istotnych kwestii. Poza oczywistym elementem, czyli określeniem celu i zakresu powierzenia, administrator i podmiot przetwarzający ustalić powinni także bardziej szczegółowe zasady przetwarzania. Wśród zagadnień, które należy uregulować w umowie wskazać można z pewnością dodatkowe wymogi, jakie danemu podmiotowi przetwarzającemu chce postawić administrator danych. Może się zdarzyć, że procesor będzie miał dostęp do kluczowych dla administratora danych i w związku z tym administrator oczekiwał będzie zachowania wyższych standardów po stronie procesora.
Elementem, którego wprowadzenie do umów powierzenia warto rozważyć są także uprawnienia kontrolne administratora danych względem procesora. Coraz więcej administratorów stara się zagwarantować w umowie możliwość przeprowadzenia audytu u procesora jeszcze rozpoczęciem współpracy i przekazaniem danych i później na różnych etapach jej wykonywania tak, by mieć pewność, że powierzane dane są faktycznie prawidłowo zabezpieczone i że stosowane przez przetwarzającego procedury odpowiadają warunkom ustalonym w umowie.
Bardzo ważnym aspektem, który powinien być poruszony w umowie powierzenia jest zakończenie współpracy między stronami i ustalenie, co ma się stać z danymi po wygaśnięciu umowy. Możliwe jest zastrzeżenie obowiązku zwrotu danych – papierowych dokumentów i elektronicznych nośników danych lub też żądanie ich usunięcia. Szczegółowe rozwiązania zależą od indywidualnego przypadku i specyfiki przetwarzania w danym kontekście. Nie w każdym wypadku zwrot danych będzie możliwy i potrzebny. Administratorzy danych osobowych coraz częściej zastrzegają w umowach powierzenia kary umowne jako pewną gwarancję bezpieczeństwa dla siebie. Dzięki temu, w przypadku naruszeń umowy dochodzenie odpowiedzialności od procesora staje się prostsze i szybsze.
Warto także zaznaczyć, że powierzenie przetwarzania danych nie musi stanowić odrębnego dokumentu. Niejednokrotnie, i jest to praktyka poprawna, postanowienia dotyczące powierzenia przetwarzania danych wprowadzane są do umowy zlecenia czy też umowy o świadczenie usług. Jeżeli administrator decyduje się stworzyć odrębny dokument, obejmujący tylko powierzenie, musi pamiętać w nim także o określeniu terminów wypowiedzenia lub wskazaniu, na jaki okres umowa jest zawierana i o ustaleniu wynagrodzenia.
Dalsze powierzenia przetwarzania danych
Zagadnieniem, które należy również przeanalizować na etapie zawierania umowy powierzenia przetwarzania danych, jest zgoda na dalsze powierzenia ( lub brak takiej zgody). Bardzo często zdarza się, że procesor nie przetwarza danych samodzielnie dla administratora danych, a korzysta w tym celu z dalszych przetwarzających (np. biuro rachunkowe będące procesorem podpowierza dane firmie świadczącej obsługę IT i wykonującej dla biura kopie zapasowe danych). O ile ustawa o ochronie danych osobowych nie odnosi się wprost do tej kwestii, o tyle nowe rozporządzenie ogólne precyzyjnie wskazuje, na jakich zasad opierać się ma takie dalsze powierzenie. Warto podpisując dziś umowy powierzenia mieć na uwadze wymogi nowych przepisów o ochronie danych. Na gruncie rozporządzenia dalsze powierzenie będzie możliwe za zgodą wyraźną administratora danych lub po wyrażeniu przez niego ogólnej zgody na dalsze powierzenia, ale z zastrzeżeniem obowiązku informowania o każdym dalszym powierzeniu administratora danych i przyznaniem mu możliwości zgłoszenia sprzeciwu wobec korzystania z danego podprocesora. Dziś najczęściej w umowach powierzenia spotkać można zgodę na dalsze powierzenia po uprzednim poinformowaniu o danym podprocesorze ewentualnie blankietową zgodę na dalszych procesorów pod warunkiem wybierania przez procesora tylko takich podprocesorów, którzy spełnią te same wymagania z zakresu ochrony danych osobowych, które spełnia pierwszy przetwarzający.
Wymienione aspekty nie są jedynymi, na które należy zwrócić uwagę. Bardziej szczegółowe zagadnienia zależą jednak od indywidualnej oceny danego przypadku. Dobrze jednak, jeżeli administrator danych dysponuje pewnym uniwersalnym wzorem umowy powierzenia, który stanowi pewne niezbędne minimum i gwarancję bezpieczeństwa dla administratora.
Post Views:
3 950