Powierzenie przetwarzania danych osobowych to jedna z najczęściej wykorzystywanych procedur w obszarze ochrony danych osobowych. Praktycznie każda firma korzysta z zewnętrznych dostawców różnych usług lub produktów, którym powierza przetwarzane przez siebie dane osobowe. Czasami może być trudno jednoznacznie stwierdzić czy w danej relacji biznesowej dochodzi do powierzenia danych. Poniżej znajdziesz odpowiedź na to czym jest powierzenie przetwarzania danych, jakie podmioty biorą w nim udział, jakie obowiązki ciążą na administratorze danych a jakie na podmiocie przetwarzającym oraz jak powinna wyglądać sama umowa powierzenia. Aby odpowiedzieć sobie na powyższe pytania należy sięgnąć do RODO czyli ogólnego rozporządzenia o ochronie danych.
Zamów wzór umowy powierzenia zgodny z RODO
Wzór umowy powierzenia zgodny z RODO możesz zamówić w sklepie dostępnym na blogu Umowy w IT. Taki wzór umowy powierzenia przetwarzania danych osobowych może być wykorzystywany jako niezależna umowa lub też jako załącznik do umowy umowy głównej (np. umowy wdrożeniowej, SLA lub umowy o świadczenie usług programistycznych).
Podmiot przetwarzający i powierzenie przetwarzania danych
Podmiotem przetwarzającym jest osoba lub podmiot, która w imieniu administratora danych przetwarza dane. Bardzo ważne jest to, że to przetwarzanie dokonywane jest właśnie w imieniu administratora. Oznacza to, że po pierwsze podmiot przetwarzający (czasem zwany procesorem) przetwarza dane, których administratorem jest inny podmiot i może to robić wyłącznie po to aby zrealizować jakiś konkretny cel administratora. Procesor nie może decydować o sposobach i celach przetwarzania danych powierzonych mu do przetwarzania przez administratora.
Przykładowo administrator przetwarza dane swoich pracowników i kontrahentów w systemie CRM w chmurze dostarczanym przez firmę X. Firma X jest w takim wypadku procesorem względem administratora. Przetwarza dane administratora – czyli dane pracowników – wyłączenie w celach wskazanych mu przez administratora i robi to w jego imieniu. Co więcej gdy administrator zrezygnuje z jego usługi (np. wybierze inny system CRM), podmiot przetwarzający utraci możliwość przetwarzania tych danych.
Kto może być podmiotem przetwarzającym (procesorem)?
W zasadzie każda firma najczęściej występuje w podwójnej roli. Jest administratorem jakiś danych (czyli decyduje o sposobie ich przetwarzania) oraz procesorem względem innych administratorów. Tak się dzieje np. w firmach usługowych. Są one administratorami np. danych swoich pracowników lub baz mailingowych, które zbierają na potrzeby swoich działań marketingowych i równocześnie są procesorami względem firm, dla których świadczą usługi.
Jak wybrać procesora?
Z uwagi na to, że podejście do ochrony danych osobowych w RODO oraz do wyboru odpowiednich środków bezpieczeństwa oparte jest na ryzyku to administrator powinien korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Ta gwarancja powinna przede wszystkim dotyczyć wiedzy fachowej procesora, jego wiarygodność i zasoby.
Czy procesor może korzystać z dalszych procesorów?
Do bardzo częstych sytuacji należą te, w których administrator powierza do przetwarzania dane podmiotowi przetwarzającemu a ten podpowierza je dalej kolejnemu podmiotowi. Ważne jest to, że do takiego podpowierzenia nie może dojść bez wcześniejszej zgody administratora. Z racji tego, że to administrator w pierwszej kolejności odpowiada za incydenty związane z administrowanymi przez niego danymi osobowymi – nawet gdy do incydentu doszło z winy procesora lub dalszego procesora – powinien on znać cały “łańcuch” podpowierzeń swoich danych aby być w stanie prowadzić ew. działania kontrolne.
Przykłady powierzenia przetwarzania danych
Do powierzenia danych osobowych dochodzi np. gdy korzystasz z:
- usług hostingowych,
- systemu do wystawiania faktur,
- systemu typu CRM,
- zewnętrznej księgowości,
- systemu do wysyłki newslettera,
- podwykonawców, którzy prowadzą działalność gospodarczą.
Umowa powierzenia przetwarzania danych osobowych
Powierzenie przetwarzania danych osobowych dokonuje się najczęściej na podstawie umowy. Co ważne, nie musi to być umowa w zwykłej formie pisemnej. Możesz podpisać ją elektronicznie, a nawet zaakceptować ją w formie checkboxu. Ale bezwzględnie powinna być ona zawarta. RODO wskazuje na podstawowe elementy umowy powierzenia przetwarzania danych. Taka umowa powinna w szczególności stanowić, że podmiot przetwarzający:
- przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora,
- zapewnia, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
- podejmuje wszelkie środki związane z bezpieczeństwem przetwarzania,
- przestrzega warunków korzystania z usług innego podmiotu przetwarzającego,
- w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z jego obowiązków wynikających z RODO,
- pomaga administratorowi wywiązać się z obowiązków związanych m.in. ze środkami bezpieczeństwa, zgłaszania incydentów organowi nadzorczemu, zawiadamiania osób, których dane dotyczą,
- po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie,
- udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w RODO oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów.
Sankcje za brak umowy powierzenia
Warto pamiętać, że brak zawartej umowy oraz naruszenie obowiązków związanych z powierzeniem przetwarzania danych osobowych to jedno z podstawowych naruszeń w RODO. Naruszenia w tym zakresie podlegają karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.