GDPR bardzo szczegółowo, wręcz drobiazgowo, reguluje instytucję powierzenia przetwarzania danych osobowych, pozycję procesora oraz relacje między tymi podmiotami.

Podmiot przetwarzający

Podmiot któremu ADO może powierzyć przetwarzanie danych

Podmiotem, któremu ADO może powierzyć przetwarzanie danych może być osoba fizyczna lub prawna, organ publiczny, jednostka organizacyjna lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Jeżeli administrator chce powierzyć przetwarzanie danych w jego imieniu, to może w tym celu korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi GDPR i chroniło prawa osób, których dane dotyczą.

Wybór kontrahenta przez ADO

Wynika z tego, że GDPR nakazuje ADO dołożyć szczególnej staranności przy wyborze procesora.

Administrator może ocenić czy podmiot, mający w jego imieniu przetwarzać dane, spełnia wymienione wymogi, na przykład poprzez skontrolowanie stosowanych przez niego sposobów zabezpieczenia danych. Przeprowadzanie audytów i kontroli u kontrahentów, którym powierza się dane do przetwarzania, już teraz staje się coraz częstszym zjawiskiem na rynku outsourcingu tego typu usług. Jest tak, nawet pomimo że obecna ustawa nie reguluje szczegółowo tej kwestii.

Obowiązek umożliwienia przeprowadzania audytów

Stan niepewności prawnej co do powyżej wspomnianego uprawnienia administratora został w GDPR zniesiony poprzez nałożenie na procesora – expressis verbis w art. 28 ust. 3 lit. h GDPR – obowiązku umożliwienia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzania audytów. Przeprowadzania takich kontroli, leży w interesie administratora. To na nim ciąży prawna i biznesowa odpowiedzialność za przetwarzane dane.

Elementy umowy powierzenia

Administrator danych będzie mógł powierzyć do przetwarzania dane na podstawie umowy lub innego instrumentu prawnego, podlegających prawu Unii lub prawu państwa członkowskiego.

Umowa, jak i inny instrument prawny, będą musiały:

1) precyzyjnie określać szeroko rozumiane okoliczności powierzenia

2) zawierać wymienione wymienione w rozporządzeniu, szczegółowe deklaracje, co do obowiązków podmiotu przetwarzającego.

Według art. 28 ust. 3 GDPR, administrator będzie musiał precyzyjnie określić:

1) przedmiot i czas trwania przetwarzania;

2) charakter i cel przetwarzania;

3) rodzaj danych osobowych oraz kategorie osób, których dane dotyczą;

4) obowiązki i prawa administratora.

Jednocześnie, umowa lub inny instrument prawny będą musiały stanowić w szczególności, że podmiot przetwarzający:

1) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora;

2) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

3) wdroży odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych (środki te mogą obejmować np. pseudonimizację i szyfrowanie danych osobowych, zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwa­rzania, przywracanie dostępności danych w razie incydentu fizycznego lub technicznego, regularne testowanie i ocenianie skuteczności ww. środków);

4) pomaga administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III GDPR (a więc wspiera w realizacji uprawnień osoby o charakterze informacyjnym, korekcyjnym i zakazowym);

5) pomaga administratorowi w zabezpieczaniu danych, zgłaszaniu naruszeń organowi nadzorczemu, zawiadamianiu osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych);

6) po zakończeniu świadczenia usług, zależnie od decyzji administratora, usuwa lub zwraca wszelkie dane osobowe na jego rzecz oraz usuwa wszelkie ich istniejące kopie;

7) umożliwia przeprowadzanie audytów i przyczynia się do nich.

Dalsze powierzenie danych do przetwarzania

Istnieje możliwość dalszego powierzenia danych do przetwarzania

Możliwość dalszego powierzenia danych do przetwarzania przewiduje wprost samo rozporządzenie. Dalsze powierzenie danych do przetwarzania następuje na podstawie umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego.

Formy upoważnienia procesora przez ADO do dalszego powierzenia danych

Pisemne upoważnienie procesora przez ADO do dalszego powierzenia danych do przetwarzania może przybierać dwie formy:

1) przewidzieć wprost jakiemu podmiotowi dane mogą być, w razie potrzeby, powierzone do przetwarzania przez procesora;

2) przewidzieć możliwość dokonania dalszego powierzenia przez procesora, bez wskazania konkretnego podmiotu, który mógłby przetwarzać powierzone dane.

W drugim przypadku, chcący dokonać dalszego powierzenia danych procesor, zobowiązany jest:

1) zakomunikować ten zamiar administratorowi

2) umożliwić administratorowi wypowiedzenie się w tej kwestii.

Wobec tego, samo poinformowanie administratora jest niedostateczne. Trzeba będzie również, zapewnić mu czas na podjęcie władczej decyzji, czy zezwala on na dalsze powierzenie. Wydaje się, że kwestia czasu oczekiwania oczekiwania na decyzję administratora w tym przedmiocie, powinna być jasno określona w umowie powierzenia.

Obowiązek ochrony danych przez „podprocesora”

Na podmiot, któremu procesor powierza dane do dalszego przetwarzania nałożone zostają te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym. Taki „podprocesor” podlega w szczególności obowiązkowi zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom rozporządzenia GDPR.

Odpowiedzialność procesora wobec administratora za działania „podprocesora”

Odpowiedzialność procesora wobec administratora za wypełnienie obowiązków, jakie wziął na siebie poprzez zawarcie z nim umowy, nie może być wyłączona poprzez zawarcie umowy o dalszym powierzeniu danych do przetwarzania. Jeżeli inny podmiot przetwarzający („podprocesor”) nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność za to obciąży procesora, który zawarł umowę z ADO.

Forma umowy

Umowa lub inny akt prawny, będące podstawą powierzenia przetwarzania danych lub dalszego powierzenia przetwarzania danych, mają formę pisemną, w tym formę elektroniczną.

Domniemanie prawne spełnienia obowiązku zapewnienia wystarczających gwarancji

Rozporządzenie GDPR wprowadza domniemanie prawne spełnienia obowiązku zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych. Tyczy się ono zarówno umowy powierzenia przetwarzania danych, jak i umowy dalszego powierzenia. Podmiot przetwarzający może tego dokonać poprzez zastosowanie zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji.

Standardowe klauzule umowne

Umowa lub inny akt prawny, będące podstawą powierzenia przetwarzania danych lub dalszego powierzenia przetwarzania danych, mogą się opierać w całości lub w części na standardowych klauzulach umownych, które zostały przyjęte bezpośrednio przez Komisję Europejską, także gdy są one elementem certyfikacji udzielonej administratorowi lub podmiotowi przetwarzającemu.

Uznanie procesora za ADO w zakresie w jakim naruszył rozporządzenie

Jeżeli podmiot przetwarzający naruszy rozporządzenie GDPR przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania.
W praktyce, pozwala to na zastosowanie wobec niego odpowiednich sankcji i środków służących naprawieniu stanu naruszenia prawa.

Porównanie przepisów UODO/GDPR

Uodo GDPR

Art. 31. 1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.

2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.

<2a. Nie wymaga zawarcia umowy między administratorem a podmiotem, o którym mowa w ust. 1, powierzenie przetwarzania danych, w tym przekazywanie danych, jeżeli ma miejsce między podmiotami, o których mowa w art. 3 ust. 1.>

3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36–39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.

4. W przypadkach, o których mowa w ust. 1–3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

5. Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14–19.

Artykuł 28 Podmiot przetwarzający

1. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

2. Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

3. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:

a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;

b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

c) podejmuje wszelkie środki wymagane na mocy art. 32;

d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;

e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;

f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36;

g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych; h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

W związku z obowiązkiem określonym w akapicie pierwszym lit. h) podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

4. Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.

5. Wystarczające gwarancje, o których mowa w ust. 1 i 4 niniejszego artykułu, podmiot przetwarzający może wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42.

6. Bez uszczerbku dla indywidualnych umów między administratorem a podmiotem przetwarzającym, umowa lub inny akt prawny, o których mowa w ust. 3 i 4 niniejszego artykułu, mogą się opierać w całości lub w części na standardowych klauzulach umownych, o których mowa w ust. 7 i 8 niniejszego artykułu, także gdy są one elementem certyfikacji udzielonej administratorowi lub podmiotowi przetwarzającemu zgodnie z art. 42 i 43.

7. Komisja może określić standardowe klauzule umowne dotyczące kwestii, o których mowa w ust. 3 i 4 niniejszego artykułu, zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2.

8. Organ nadzorczy może przyjąć standardowe klauzule umowne dotyczące kwestii, o których mowa w ust. 3 i 4 niniejszego artykułu, zgodnie z mechanizmem spójności, o którym mowa w art. 63.

9. Umowa lub inny akt prawny, o których mowa w art. 3 i 4, mają formę pisemną, w tym formę elektroniczną.

10. Bez uszczerbku dla art. 82, 83 i 84, jeżeli podmiot przetwarzający naruszy niniejsze rozporządzenie przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania.

Artykuł 29 Przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającego

Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

 

Related Post