GDPR w sposób nie pozostawiający wątpliwości odniósł się do zlecania przez podmiot przetwarzający dane przetwarzania ich przez „inny podmiot przetwarzający”. Obecnie uodo nie przewiduje wprost możliwości „podpowierzania danych” przez ich „procesora”.

Uodo stanowi, że to administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych  (art. 31 ust. 1 uodo). Interpretując literalnie przepisy uodo można dojść do przekonania, że uprawnienie do powierzania przetwarzania danych przysługuje jedynie ich administratorowi. Doktryna i orzecznictwo, opierając się na wykładni celowościowo-funkcjonalnej, wypracowały jednak stanowisko, z którego wynika, że podmiot przetwarzający dane może je powierzyć do „dalszego” przetwarzania innemu podmiotowi, po uzyskaniu aprobaty administratora danych.

Prawodawca unijny zauważając potrzebę precyzyjnego uregulowania tej kwestii, zawarł w GDPR postanowienie, że:

„Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian (art. 28 ust. 2 GDPR).”

Mamy tutaj więc do czynienia z sytuacją, w której administrator danych może pisemnie wprost przewidzieć jakiemu „podprocesorowi” dane mogą być, w razie potrzeby, powierzone do przetwarzania przez podmiot przetwarzający bądź też może pisemnie przewidzieć możliwość takiego „dalszego powierzenia” przez podmiot przetwarzający dane, nie wskazując przy tym konkretnie jaki podmiot finalnie dane może przetwarzać. W tej ostatniej sytuacji podmiot przetwarzający dane, noszący się z zamiarem „dalszego powierzenia” danych, zobowiązany jest do zasygnalizowania administratorowi tej okoliczności oraz umożliwienia mu wypowiedzenia się w tym przedmiocie. Niedopuszczalną jest więc sytuacja, w której administrator ma przekazywaną informację ale nie jest mu gwarantowany czas na podjęcie władczej decyzji co do takiego „dalszego powierzenia”. Wydaje się, że czas oczekiwania na decyzję administratora w tym przedmiocie powinien być sztywno określony w umowie powierzenia.

Dodatkowo, przepis art. 28 ust. 4 GDPR stanowi, że:

„Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak między administratorem a podmiotem przetwarzającym.”

Z powyższego wynika więc, że w zakresie obowiązków związanych z zabezpieczaniem danych podmiot, któremu podmiot przetwarzający „podpowierzył” dane do przetwarzania zobowiązany jest do wdrożenia takich środków zabezpieczających jakie mają być wdrożone przez podmiot, „podpowierzający”. W sytuacji, w której „podprocesor” nie wywiązałby się z tego obowiązku, odpowiedzialność wobec administratora za skutki tego zaniechania ponoszona ma być przez podmiot „podpowierzający” dane. Pojawić się zatem może pytanie, czy na zasadzie analogii, podmioty „podpowierzające” dane nie będą się decydowały na uprzednią kontrolę swoich kontrahentów, którym „podpowierzają” dane.

Podsumowanie

Zmiany jakie GDPR wprowadził do relacji zachodzących pomiędzy administratorem danych i ich „procesorem”, względnie „podprocesorem”, ocenić należy pozytywnie. Odnosząc uregulowania GDPR do obowiązującej uodo nie sposób nie zauważyć, że dotychczasowe rozwiązania nie były precyzyjne, co rodziło przez wiele lat szereg problemów interpretacyjnych. GDPR traktuje procesora nie jako podmiot, który stoi po przeciwnej niż administrator danych stronie barykady, ale jako podmiot, który aktywnie wspierać ma, lub też wręcz inicjować procesy mające na celu chronić prawa jednostki (chociażby wspomniane przyczynianie się do audytów). Ze stosowaniem GDPR podmioty przetwarzające w Polsce dane będą się musiały zmierzyć już od wiosny 2018 r. Wydaje się jednak, że już teraz warto zacząć analizować wpływ GDPR na organizacje oraz rozpocząć proces  dostosowywania obowiązujących w podmiotach rozwiązań. Proces ten może się okazać szczególnie ciężki dla organizacji, które dotąd nie zarządzały ochroną danych w sposób sprawny i świadomy.

Autor: Marta Bargiel-Kaflik

Related Post