Najważniejszym aspektem powierzania przetwarzania danych osobowych jest rozróżnienie sytuacji, w których dochodzi faktycznie do powierzenia ich przetwarzania w rozumieniu art. 28 RODO od tych, w których dane osobowe przekazują sobie - na zasadzie udostępniania - niezależni administratorzy dysponujący niezależnymi podstawami ich przetwarzania. Jest to kluczowe z punktu widzenia zapewnienia legalności przetwarzania danych osobowych oraz określenia zakresu obowiązków ciążących na przedsiębiorcy.
Z powierzeniem przetwarzania danych mamy do czynienia wówczas gdy jeden z podmiotów przetwarzać ma dane osobowe w imieniu drugiego podmiotu (administratora danych) w celach wskazanych przez administratora danych oraz we wskazanym przez niego zakresie. Podmiot przetwarzający nie dysponuje własną podstawą prawną do przetwarzania danych osobowych (brak więc podstaw przetwarzania danych wskazanych w art. 6 oraz 9 RODO). Koniecznym jest wówczas zawarcie pomiędzy administratorem a podmiotem przetwarzającym umowy powierzenia przetwarzania danych osobowych, spełniającej wymogi wskazane w art. 28 ust. 3 RODO.
Czym grozi przetwarzanie danych osobowych bez wcześniejszego podpisania umowy powierzenia przetwarzania danych?
Grozi to wszystkimi konsekwencjami wynikającymi z przetwarzania danych osobowych bez podstawy prawnej (ryzyko podmiotu przetwarzającego – tzw. procesora) albo z ujawnienia danych osobowych przetwarzanych przez administratora podmiotowi trzeciemu bez ważnej podstawy prawnej (ryzyko administratora). Sytuacje takie grożą procesorowi karą pieniężną do 20 mln EUR, administratorowi zaś do 10 mln EUR. Dla procesora oraz administratora, którzy zaniechali podpisania umowy powierzenia przetwarzania danych w sytuacji tego wymagającej przewidziana została również odpowiedzialność karna wynikająca z art. 107 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Redakcja tego przepisu może co prawda na pierwszy rzut oka sugerować, iż penalizuje on jedynie zachowanie procesora, który przetwarzana dane osobowe bez podstawy prawnej. Gdy wczytamy się jednak uważnie, przepis wskazuje, iż penalizowane jest również zachowanie polegające na przetwarzaniu danych osobowych, choć ich przetwarzanie nie jest dopuszczalne. Cofając się do treści ogólnego rozporządzenia o ochronie danych zobaczymy z kolei, iż przetwarzaniem danych osobowych jest również ich ujawnianie (art. 4 pkt 2 RODO), natomiast administrator może powierzyć procesorowi przetwarzanie danych osobowych tylko na podstawie wcześniej podpisanej umowy powierzenia przetwarzania danych (art. 28 ust. 3 RODO). Oznacza to, iż ujawnienie danych osobowych procesorowi bez podpisania umowy powierzenia przetwarzania danych jest niedopuszczalnym przetwarzaniem (ujawnieniem) danych osobowych, penalizowanym przez art. 107 art. 1 ustawy o ochronie danych osobowych na równi z zachowaniem procesora polegającym na przetwarzaniu danych osobowych pomimo braku podstawy prawnej. Oba podmioty narażają się ponadto na dodatkowe środki naprawcze, które wobec nich zastosować może organ nadzorczy na mocy art. 58 ust. 2 RODO – na czele z wprowadzeniem czasowego lub całkowitego ograniczenia przetwarzania danych osobowych przez podmiot (w tym zakazu przetwarzania).
Jakie warunki spełniać winna umowa powierzenia przetwarzania danych osobowych?
Po pierwsze, gdy tylko jest to możliwe, zalecamy zawieranie takich umów w formie pisemnej. Istnieją bowiem pewne wątpliwości co do tego, czy w polskim porządku prawnym dopuszczalne jest zawarcie umowy powierzenia przetwarzania danych osobowych w tzw. formie dokumentowej (np. poprzez wymianę e-maili, czy uzupełnienie formularza dostępnego na stronie www). W opinii autorów niniejszego wpisu taka forma powinna być dozwolona, jednakże biorąc pod uwagę brzmienie art. 28 ust. 9 RODO, lepiej zachować ostrożność. Przepis wskazuje bowiem, iż umowa powierzenia przetwarzania danych winna mieć formę pisemną, w tym formę elektroniczną. W ocenie autorów niniejszego wpisu, prawodawca unijny chciał dopuścić w ten sposób zawieranie umów powierzenia przetwarzania także za pomocą elektronicznych środków porozumiewania się na odległość – chociażby poprzez wymianę e-mailem dokumentów elektronicznych. W rozumieniu polskiego Kodeksu cywilnego do zachowania formy elektronicznej czynności prawnej niezbędne jest jednak złożenie oświadczenia woli w postaci elektronicznej i opatrzenie go kwalifikowanym podpisem elektronicznym (art. 781 §1 Kodeksu cywilnego). Wymogu tego nie spełnia więc zwykły e-mail, tym bardziej zaś uzupełnienie formularza elektronicznego udostępnionego przez kontrahenta na stronie www.
Po drugie, umowa powierzenia przetwarzania danych osobowych zawierać powinna cały szereg elementów wskazanych w art. 28 ust. 3 RODO. Ze względu na wielość tych elementów, nie ma sensu powielanie ich w treści niniejszego wpisu. Należy jednakże zwrócić uwagę, iż art. 28 ust. 3 RODO znacząco ogranicza swobodę kontraktową stron i wskazane w nim elementy muszą się po prostu w umowie powierzenia znaleźć. Z naszej praktyki wynika, iż znaczna część przedsiębiorców nie za bardzo godzi się z tym faktem i nieodpowiadające im elementy wskazane w art. 28 ust. 3 RODO po prostu pomija lub domaga się ich pominięcia przez kontrahenta. Jest to naturalnie działanie kategorycznie odradzane, skutkować może bowiem podważeniem przez organ nadzorczy ważności zawartej umowy powierzenia i zastosowaniem sankcji, o których mowa była we wcześniejszej części niniejszego wpisu.
O czym pamiętać powinni administrator oraz procesor?
Zarówno administrator, jak i procesor pamiętać powinni o prowadzeniu rejestru zawartych umów powierzenia przetwarzania danych oraz należytym archiwizowaniu tychże umów. Procesor musi z kolei dodatkowo pamiętać, że przetwarzanie powierzonych mu danych osobowych wiąże się z koniecznością prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora – zgodnie z art. 30 ust. 2 RODO. Jest to dokument dodatkowy w stosunku do wskazanego w art. 30 ust. 1 RODO rejestru czynności przetwarzania danych osobowych – będącego podstawowym i być może wręcz najważniejszym dokumentem wymaganym przez RODO.
Administrator winien ponadto pamiętać, iż ponosi odpowiedzialność za właściwy dobór podmiotów przetwarzających dane osobowe w jego imieniu i może ponieść konsekwencje (w tym finansowe) wynikające z naruszeń jakich dopuści się procesor. Procesor z kolei musi mieć świadomość, iż w odróżnieniu od uchylonej i nieobowiązującej już ustawy o ochronie danych osobowych z 1997 r., na mocy RODO ponosi szeroką odpowiedzialność prawną za zgodne z prawem przetwarzanie danych osobowych a niesławne kary pieniężne przewidziane przez RODO nałożone mogą zostać nie tylko na administratora, ale również na procesora.
Oba podmioty, zarówno administrator jak i procesor, winny więc podchodzić z należytą starannością do zawierania umów powierzenia przetwarzania danych – nadając temu procesowi odpowiednio wysoki priorytet.
Data publikacji: 05.05.2019.