Niedługo minie rok od kiedy w Polsce stosujemy RODO. Rozwiązujemy kolejne problemy związane z rozumieniem niektórych przepisów - pojawiają się wytyczne Ministerstwa Cyfryzacji i pierwsze decyzje Prezesa Urzędu Ochrony Danych Osobowych. Na wyroki sądów dotyczące ochrony danych osobowych wg. RODO jeszcze pewnie przyjdzie nam trochę poczekać. Pomimo tego pewne kwestie nadal budzą wątpliwości i są przedmiotem gorących dyskusji.
Problemem jest to, że czasem kwestie związane z ochroną danych osobowych są dyskutowane na ostatnią chwilę np. pomiędzy przedsiębiorcami, którzy zaraz mają zawrzeć ważny kontrakt. I niestety czasem poglądy na RODO są zupełnie inne. Nie ma to dobrego wpływu na atmosferę biznesowych negocjacji.
Umowy powierzenia przetwarzania danych - po co one są?
Standardowym działaniem jest zawieranie umów powierzenia przetwarzania danych - czyli regulowanie sytuacji gdy ktoś dostaje dane osobowe, których administratorem jest druga strona - i ma je przetwarzać:
dla tej strony,
w celu realizacji jej interesów,
zgodnie z tym co ta strona ustaliła.
Dlatego stwierdziłem, że po prostu napiszę trochę o umowach powierzenia z perspektywy rocznych doświadczeń w doradzaniu m.in, kiedy takie umowy należy podpisywać. Zacznijmy od początku - czyli od tego kim jest administrator i podmiot przetwarzający.
Kim jest administrator i podmiot przetwarzający?
Administrator to ktoś kto decyduje o celach i sposobach przetwarzania danych osobowych. Innymi słowy – o tym dlaczego zbiera dane osobowe, po co to robi i w jaki sposób je przechowuje i wykorzystuje. Kryterium decydowania jest tutaj kluczowe – innymi słowy, ważne jest to kto wskazuje na to jakie dane mają być przetwarzane, w jaki sposób i po co.
To oznacza, że administrator czasem nie musi nawet mieć tych danych fizycznie „u siebie”. Może być tak, że administrator nawet nigdy nie widział tych danych – po prostu zlecił komuś zbudowanie bazy (np. dotyczącej kontaktów marketingowych) a następnie wykonywanie określonych operacji przetwarzania danych (np. wysyłania wiadomości e-mail o charakterze marketingowym).
Natomiast podmiot przetwarzający to ten, który przetwarza dane osobowe w imieniu administratora. Czyli coś dla niego robi, świadczy jakąś usługę i w związku z tym posiada dostęp do danych administratora. Działa tutaj na podstawie jego decyzji, która mówi o tym jakie dane są przetwarzane, w jaki sposób i po co.
Podmiot przetwarzający realizuje przy tym interesy administratora – niejednokrotnie po prostu w ramach świadczenia przez siebie różnych usług. Dlatego podmiotem przetwarzającym często jest wykonawca jakiejś usługi dla administratora.
Kiedy dochodzi do powierzenia przetwarzania danych?
W związku z tym co napisałem na poprzedniej stronie, warto zapoznać się z kilkoma przykładami powierzenia przetwarzania danych:
Przedsiębiorstwo korzysta z hostingu poczty elektronicznej zapewnianej przez zewnętrzny podmiot, a dane o kontach użytkowników oraz dane zawarte w treści korespondencji e-mail są przechowywane na serwerze, którym zarządza ten zewnętrzny podmiot. W takim przypadku korzystający z usług firmy hostingowej jest administratorem danych, a firma hostingowa – podmiotem przetwarzającym dane.
Przedsiębiorstwo korzystające z usług biura rachunkowego w celu obsługi księgowej i kadrowej – w celu wykonywania przez biuro rachunkowe swoich zadań musi ono mieć dostęp do danych kontrahentów i pracowników przedsiębiorstwa, które jest jego klientem. Dlatego przedsiębiorstwo to, będąc administratorem swoich danych osobowych, powierza je podmiotowi przetwarzającemu, jakim jest biuro rachunkowe, w celu umożliwienia mu realizacji usług zgodnie z zawartą umową.
Przedsiębiorstwo korzystające z usług chmurowych, w ramach których przetwarzane są dane osobowe – w takich przypadkach usługodawca, świadczący usługi chmurowe na rzecz swojego klienta jest podmiotem przetwarzającym dane, a klient – ich administratorem.
Przedsiębiorstwo zlecające zewnętrznej agencji marketingowej prowadzenie działań marketingowych w jego imieniu. W takiej sytuacji przedsiębiorstwo może przekazać agencji swoją bazę danych osób, do których kierowane będą informacje marketingowe lub zlecić agencji rozpoczęcie budowania takiej bazy w imieniu zlecającego przedsiębiorstwa. W obu tych przypadkach administratorem danych będzie klient agencji, a agencja – podmiotem przetwarzającym dane. Zwróć uwagę na ważną rzecz – w drugim przypadku administrator danych może nie mieć fizycznego dostępu do danych i nie przechowywać ich samodzielnie – a mimo to jest uznany za podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych,
Korporacja korzysta z usług podwykonawcy zajmującego się profesjonalnym niszczeniem dużej ilości dokumentów, w tym również takich zawierających dane osobowe. Musimy pamiętać o tym, że niszczenie lub usuwanie danych również jest czynnością przetwarzania – a tym samym konieczne jest w takim przypadku zawarcie umowy powierzenia danych osobowych.
Kiedy nie musimy zawierać umowy powierzenia przetwarzania danych?
Przede wszystkim - umowy powierzenia nie zawieramy w sytuacji gdy gdy nie przekazujemy danych osobowych podmiotom trzecim. Tu sprawa jest prosta. Jeżeli więc zawieramy z kimś umowę ale nie wiąże się ona z przetwarzaniem danych osobowych, nie zawieramy umowy powierzenia.
Tak jest w sytuacji gdy korzystamy z usług sprzątających albo najmu pomieszczeń. Fakt, że w tych pomieszczeniach będziemy trzymać dane osobowe jest tu bez znaczenia. Wynajmujący bowiem tylko udostępnia pomieszczenie i nie wykonuje operacji na danych osobowych.
Nie musimy też zawierać takiej umowy w sytuacji gdy podmiot, który przetwarza dane osobowe (które mu przekazujemy) działa także jako administrator. Nie mamy więc do czynienia z relacją administrator – podmiot przetwarzający, ale z występowaniem dwóch odrębnych administratorów danych. Taka relacja pomiędzy dwoma podmiotami ma miejsce m.in.:
Gdy pracodawca wysyła pracownika do przychodni medycyny pracy na wstępne lub okresowe badania lekarskie, zgodnie z obowiązkami nałożonymi na niego przez przepisy prawa pracy. W takiej sytuacji pracownik staje się pacjentem takiej placówki, a ona jest administratorem jego danych osobowych. Tym samym nie ma konieczności zawierania z nią umowy powierzenia przetwarzania danych osobowych
Gdy podania danych osobowych żądają od nas uprawnione organy państwowe, zgodnie z przepisami prawa, które przyznają im np. możliwość (albo obowiązek) prowadzenia różnego rodzaju postępowań. Taka sytuacja ma miejsce np. w momencie prowadzenia kontroli przez organy skarbowe, Zakład Ubezpieczeń Społecznych lub prowadzenia postępowań przez sądy, policję, prokuratury czy też komorników sądowych
Gdy dane osobowe dłużnika będą przetwarzane przez radcę prawnego lub adwokata po to aby przygotował pozwy o zapłatę - w takim wypadku radca lub adwokat automatycznie stają się administratorami danych, ponadto obowiązuje ich obowiązek zachowania tych danych w tajemnicy (co np. oznacza, że nie spełniają wobec tych dłużników obowiązku informacyjnego).
Jeżeli chcesz dowiedzieć się więcej na temat umów powierzenia przetwarzania danych zachęcam Cię do pobrania poradnika na ten temat. Gdybyś miał jakieś dodatkowe pytania, możesz śmiało się ze mną skontaktować, pisząc na kontakt@bytelaw.pl, albo korzystając z formularza kontaktowego tutaj.
