Kilka słów o tym jak na gruncie GDPR powierzyć dane do przetwarzania

Przepis art. 28 ust. 1 GDPR stanowi, że:

„Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.”

reklama

GDPR nakłada zatem na administratora obowiązek dołożenia szczególnej staranności przy wyborze kontrahenta mającego w jego imieniu przetwarzać dane. Jak się wydaje, ocena spełniania przez „procesora” wymogów przewidzianych ww. przepisem GDPR, mogłaby zostać dokonana po przeprowadzeniu przez administratora danych kontroli stosowanych sposobów zabezpieczania danych. Trend przeprowadzania audytów i kontroli u kontrahentów, którym powierza się dane do przetwarzania, staje się obecnie, na rynku outsourcingu tego typu usług, coraz bardziej zauważalny. Brak jednak wyraźnych przepisów uodo odnoszących się do tej możliwości powoduje, że „procesorzy” niejednokrotnie blokują możliwość ich przeprowadzania. Biorąc pod uwagę olbrzymią ilość podmiotów przetwarzających w Polsce dane na zlecenie, zauważyć trzeba, że relatywnie niewielka ich część wdrożyła w organizacjach ochronę danych na takim poziomie, że perspektywa przeprowadzenia przez kontrahenta kontroli, od której być może uzależniona jest dalsza współpraca, nie powoduje ich sprzeciwu.

Umieszczenie expressis verbis, w art. 28 ust. 3 lit. h GDPR, obowiązku umożliwienia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzania audytów, powoduje, że stan niepewności prawnej co do powyżej wspomnianego uprawnienia administratora został w GDPR zniesiony. Pod rządami GDPR sygnał od administratora o potrzebie przeprowadzenia kontroli przestanie być traktowany jako prośba, a zacznie być traktowany jako „propozycja nie do odrzucenia”. Zmianę tę należy, w mojej opinii, ocenić pozytywnie. Nie powinno ulegać wątpliwości, że po stronie administratora istnieje wyraźna potrzeba do przeprowadzania takich kontroli. To na jego barkach ciąży bowiem zdecydowany ciężar odpowiedzialności, tak prawnej, jak i biznesowej, za przetwarzane dane.

Elementy umowy powierzenia

Administrator danych, na gruncie GDPR, będzie mógł powierzyć do przetwarzania dane na podstawie umowy lub innego instrumentu prawnego. Zarówno umowa, jak i wspomniany, inny instrument prawny będą musiały precyzyjnie określać szeroko rozumiane okoliczności powierzenia, a także zawierać wymienione przez GDPR szczegółowe deklaracje, co do obowiązków podmiotu przetwarzającego.

reklama

Zgodnie z art. 28 ust. 3 GDPR, administrator będzie musiał precyzyjnie określić:

  • przedmiot i czas trwania przetwarzania;
  • charakter i cel przetwarzania;
  • rodzaj danych osobowych oraz kategorie osób, których dane dotyczą;
  • obowiązki i prawa administratora.

Jednocześnie, umowa lub inny instrument prawny będą musiały stanowić w szczególności, że podmiot przetwarzający:

  • przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora;
  • zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się dozachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
  • wdroży odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych (środki te mogą obejmować np. pseudonimizację i szyfrowanie danych osobowych, zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwa­rzania, przywracanie dostępności danych w razie incydentu fizycznego lub technicznego, regularne testowanie i ocenianie skuteczności ww. środków);
  • pomaga administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III GDPR (a więc wspiera w realizacji uprawnień osoby o charakterze informacyjnym, korekcyjnym
    i zakazowym);
  • pomaga administratorowi w zabezpieczaniu danych, zgłaszaniu naruszeń organowi nadzorczemu, zawiadamianiu osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych);
  • po zakończeniu świadczenia usług, zależnie od decyzji administratora, usuwa lub zwracawszelkie dane osobowe na jego rzecz oraz usuwa wszelkie ich istniejące kopie;
  • umożliwia przeprowadzanie audytów i przyczynia się do nich.

Jak widać, ilość elementów umowy powierzenia została przez GDPR bardzo wzbogacona. Administratorzy danych, którzy temat powierzania danych do przetwarzania traktowali poważnie, włączali jednak już wcześniej do umów z procesorami znaczną ilość ww. postanowień, pomimo tego, że uodo dla skuteczności umowy ich nie przewidywała.

reklama

Forma umowy powierzenia

Kolejnym ciekawym doprecyzowaniem, które pojawiło się w GDPR, jest jasne wskazanie, że:

„Umowa lub inny akt prawny, o których mowa w ust. 3 i 4, mają formę pisemną, w tym formę elektroniczną (art. 28 ust. 9 GDPR)”

Na marginesie wspomnieć tez trzeba, że oficjalne tłumaczenie GDPR na język polski zawiera błąd polegający na odesłaniu w ww. przepisie nie do ust. 3 i 4 artykułu 28 ale do art. 3 i 4 GDPR. Traktować tą nieścisłość należy jako oczywistą omyłkę. GDPR w wersji anglojęzyczne używa bowiem w odniesieniu do wspomnianych jednostek redakcyjnych zwrotu „paragraph”, który powinien być tłumaczony na język polski jako ustęp, a nie jako artykuł.

UDOSTĘPNIJ
Poprzedni artykuł„Dalsze powierzenie” danych do przetwarzania
Następny artykułDane osobowe
Prawnik, absolwentka Wydziału Prawa i Administracji Uniwersytetu Marii Curie – Skłodowskiej w Lublinie oraz studiów podyplomowych na kierunku „Zarządzanie Bezpieczeństwem Informacji” w Szkole Głównej Handlowej w Warszawie. Ukończyła Suffolk County Community College (NY) oraz Long Island University (NY). Wieloletni pracownik Departamentu Orzecznictwa, Legislacji i Skarg w Biurze Generalnego Inspektora Ochrony Danych Osobowych, prowadzący postępowania administracyjne o wysokim stopniu skomplikowania, toczące się w przedmiocie skarg na nieprawidłowości w procesie przetwarzania danych osobowych. Specjalizuje się w prawie pracy i przetwarzaniu danych w związku z procesami rekrutacyjnymi i zatrudnianiem pracowników.