Ochrona Danych WG » Powierzenie przetwarzania danych osobowych

Powierzenie przetwarzania danych osobowych innemu podmiotowi występuje wtedy, gdy administrator danych korzysta z usług zewnętrznej firmy, instytucji lub osoby, która przetwarza dane osobowe w jego imieniu i na jego polecenie. W takiej sytuacji podmiot zewnętrzny nie decyduje samodzielnie o celach i sposobach przetwarzania danych, lecz wykonuje określone czynności na rzecz administratora. Zgodnie z RODO administratorem jest ten podmiot, który określa cele i sposoby przetwarzania danych, natomiast podmiot przetwarzający wykonuje operacje na danych w imieniu administratora.

Powierzenie może mieć miejsce na przykład wtedy, gdy organizacja korzysta z usług biura rachunkowego, firmy kadrowo-płacowej, dostawcy systemu informatycznego, hostingu, usług chmurowych, firmy serwisującej oprogramowanie, zewnętrznego call center, firmy niszczącej dokumentację lub podmiotu świadczącego obsługę korespondencji. W każdym z tych przypadków należy ocenić, czy dany podmiot ma dostęp do danych osobowych i czy przetwarza je w imieniu administratora, a nie we własnych celach.

Podstawa prawna powierzenia danych

Podstawowe wymagania dotyczące powierzenia przetwarzania danych osobowych określa art. 28 RODO. Przepis ten wskazuje, że jeżeli przetwarzanie ma być dokonywane w imieniu administratora, administrator powinien korzystać wyłącznie z takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Oznacza to, że wybór podmiotu zewnętrznego nie powinien być przypadkowy, lecz poprzedzony oceną jego wiarygodności, zabezpieczeń, doświadczenia oraz zdolności do ochrony powierzonych danych.

RODO wymaga, aby przetwarzanie danych przez podmiot przetwarzający odbywało się na podstawie umowy lub innego instrumentu prawnego, który wiąże ten podmiot wobec administratora. Umowa taka powinna określać przede wszystkim przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora.

Umowa powierzenia przetwarzania danych

Umowa powierzenia przetwarzania danych osobowych jest jednym z podstawowych dokumentów potwierdzających zgodność współpracy z RODO. Powinna być zawarta w formie pisemnej, w tym również w formie elektronicznej. Jej celem jest dokładne określenie zasad, na jakich podmiot przetwarzający może korzystać z danych osobowych powierzonych mu przez administratora.

Umowa powierzenia powinna w szczególności zobowiązywać podmiot przetwarzający do:

Przetwarzania danych wyłącznie na udokumentowane polecenie administratoraPodmiot przetwarzający nie może wykorzystywać danych do własnych celów ani samodzielnie decydować o sposobie ich wykorzystania. Może wykonywać wyłącznie takie czynności, które wynikają z umowy, instrukcji administratora lub obowiązujących przepisów prawa.
Zapewnienia poufności danychOsoby upoważnione do przetwarzania danych po stronie podmiotu przetwarzającego powinny być zobowiązane do zachowania tajemnicy lub podlegać odpowiedniemu ustawowemu obowiązkowi poufności. Dotyczy to zarówno pracowników, jak i współpracowników oraz innych osób mających dostęp do danych.
Stosowania odpowiednich środków bezpieczeństwaPodmiot przetwarzający powinien stosować środki techniczne i organizacyjne wymagane przez art. 32 RODO, odpowiednie do ryzyka związanego z przetwarzaniem danych. Mogą to być m.in. kontrola dostępu, szyfrowanie, pseudonimizacja, kopie zapasowe, zabezpieczenia sieciowe, monitoring zdarzeń, procedury reagowania na incydenty oraz regularne testowanie skuteczności zabezpieczeń.
Pomocy administratorowi w realizacji obowiązków wobec osób, których dane dotycząPodmiot przetwarzający powinien wspierać administratora w realizacji praw osób fizycznych, takich jak prawo dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych czy sprzeciwu — oczywiście w zakresie, w jakim jest to związane z powierzonym przetwarzaniem.
Pomocy przy realizacji obowiązków związanych z bezpieczeństwem danychPodmiot przetwarzający powinien wspierać administratora m.in. przy obsłudze naruszeń ochrony danych osobowych, ocenie skutków dla ochrony danych, konsultacjach z organem nadzorczym oraz działaniach związanych z zapewnieniem bezpieczeństwa przetwarzania.
Informowania o naruszeniach ochrony danych osobowychW przypadku stwierdzenia naruszenia, takiego jak nieuprawniony dostęp, utrata danych, przypadkowe ujawnienie, modyfikacja lub zniszczenie danych, podmiot przetwarzający powinien niezwłocznie poinformować administratora. Administrator musi mieć możliwość oceny, czy dane naruszenie wymaga zgłoszenia do Prezesa UODO oraz zawiadomienia osób, których dane dotyczą.
Usunięcia lub zwrotu danych po zakończeniu współpracyPo zakończeniu świadczenia usług podmiot przetwarzający powinien, zgodnie z decyzją administratora, usunąć albo zwrócić dane osobowe oraz usunąć ich istniejące kopie, chyba że przepisy prawa wymagają dalszego przechowywania danych.
Umożliwienia kontroli i audytówAdministrator powinien mieć możliwość sprawdzenia, czy podmiot przetwarzający rzeczywiście spełnia wymagania wynikające z RODO i umowy powierzenia. UODO wskazuje, że administrator powinien mieć możliwość sprawdzenia, komu powierza dane oraz w jaki sposób dane są przetwarzane, a prawo do informacji i audytu przysługuje również w trakcie obowiązywania umowy.

Weryfikacja podmiotu przetwarzającego

Samo podpisanie umowy powierzenia nie jest wystarczające, jeżeli administrator nie zweryfikuje, czy podmiot przetwarzający faktycznie zapewnia odpowiedni poziom ochrony danych. Przed powierzeniem danych administrator powinien ocenić, czy dany podmiot posiada odpowiednie zabezpieczenia techniczne, procedury organizacyjne, doświadczenie, zasoby, personel oraz zdolność do przetwarzania danych zgodnie z RODO.

Weryfikacja może obejmować m.in. analizę ankiety bezpieczeństwa, dokumentacji ochrony danych, polityk bezpieczeństwa, certyfikatów, procedur reagowania na incydenty, zasad zarządzania dostępem, sposobu wykonywania kopii zapasowych, lokalizacji przetwarzania danych oraz sposobu korzystania z dalszych podwykonawców. W przypadku usług o podwyższonym ryzyku, takich jak usługi chmurowe, hosting, obsługa systemów kadrowo-płacowych czy dostęp do dużych zbiorów danych, weryfikacja powinna być szczególnie staranna.

Administrator powinien również okresowo kontrolować podmiot przetwarzający w trakcie trwania współpracy. Kontrola może mieć formę audytu, przeglądu dokumentacji, żądania wyjaśnień, analizy raportów bezpieczeństwa lub innych działań adekwatnych do ryzyka.

Dalsze powierzenie danych, czyli podwykonawcy

Podmiot przetwarzający nie powinien samodzielnie angażować kolejnych podmiotów do przetwarzania danych bez zgody administratora. RODO dopuszcza dalsze powierzenie danych, ale wymaga, aby odbywało się ono na zasadach określonych w umowie lub za zgodą administratora. Jeżeli podmiot przetwarzający korzysta z dalszego podmiotu przetwarzającego, powinien nałożyć na niego takie same obowiązki ochrony danych, jakie wynikają z umowy zawartej z administratorem.

W praktyce oznacza to, że administrator powinien wiedzieć, czy jego dane będą przetwarzane przez podwykonawców, kim są ci podwykonawcy, gdzie przetwarzają dane i jakie stosują zabezpieczenia. Dotyczy to szczególnie usług informatycznych, usług chmurowych, hostingu, outsourcingu IT oraz systemów, w których dane mogą być przetwarzane poza Europejskim Obszarem Gospodarczym.

Powierzenie a udostępnienie danych

Istotne jest odróżnienie powierzenia przetwarzania danych od udostępnienia danych innemu administratorowi. Przy powierzeniu podmiot zewnętrzny działa w imieniu administratora i na jego polecenie. Nie decyduje samodzielnie o celach przetwarzania danych. Przy udostępnieniu danych inny podmiot otrzymuje dane jako odrębny administrator i przetwarza je dla własnych celów oraz na własnej podstawie prawnej.

Przykładowo, firma hostingowa utrzymująca system administratora co do zasady będzie podmiotem przetwarzającym. Natomiast urząd, sąd, bank lub ubezpieczyciel, który otrzymuje dane w związku z własnymi obowiązkami prawnymi lub własną usługą, może być odrębnym administratorem danych. Prawidłowe zakwalifikowanie relacji ma duże znaczenie, ponieważ od tego zależy rodzaj dokumentacji, obowiązki stron oraz zakres odpowiedzialności.

Obowiązki administratora przy powierzaniu danych

Administrator, powierzając dane osobowe innemu podmiotowi, powinien działać zgodnie z zasadą rozliczalności. Oznacza to, że powinien nie tylko przestrzegać przepisów RODO, ale również być w stanie wykazać, że zrobił to prawidłowo. W praktyce administrator powinien:

ustalić, czy w danym przypadku dochodzi do powierzenia przetwarzania danych;
wybrać podmiot zapewniający odpowiednie gwarancje bezpieczeństwa;
zawrzeć umowę powierzenia lub inny właściwy instrument prawny;
określić zakres, cel, czas trwania i charakter przetwarzania;
wskazać kategorie danych oraz kategorie osób, których dane dotyczą;
zapewnić możliwość kontroli lub audytu;
monitorować realizację umowy;
uregulować zasady korzystania z podwykonawców;
określić sposób postępowania z danymi po zakończeniu współpracy;
dokumentować podjęte działania.

Takie podejście pozwala wykazać, że administrator dochował należytej staranności przy wyborze i nadzorze nad podmiotem przetwarzającym.

Obowiązki podmiotu przetwarzającego

Podmiot przetwarzający powinien przetwarzać dane wyłącznie w zakresie powierzonym przez administratora i zgodnie z jego udokumentowanymi poleceniami. Nie może samodzielnie rozszerzać celu przetwarzania, wykorzystywać danych do własnych analiz, marketingu, profilowania czy innych działań, jeżeli nie wynika to z umowy i przepisów prawa.

Podmiot przetwarzający powinien zapewnić odpowiednie zabezpieczenia organizacyjne i techniczne, prowadzić działania zgodnie z zasadą poufności, ograniczać dostęp do danych wyłącznie do osób upoważnionych, reagować na incydenty oraz współpracować z administratorem przy realizacji obowiązków wynikających z RODO. Powinien również udostępniać administratorowi informacje niezbędne do wykazania zgodności przetwarzania z przepisami oraz umożliwiać przeprowadzenie audytu.

Znaczenie powierzenia dla zgodności z RODO

Prawidłowe powierzenie przetwarzania danych osobowych ma istotne znaczenie dla bezpieczeństwa informacji oraz zgodności z RODO. Administrator, korzystając z usług zewnętrznych podmiotów, nadal pozostaje odpowiedzialny za zapewnienie, że dane osobowe są przetwarzane zgodnie z prawem. Nie może ograniczyć się wyłącznie do przekazania danych i podpisania umowy głównej. Powinien zadbać o to, aby relacja z podmiotem przetwarzającym była odpowiednio uregulowana, nadzorowana i dokumentowana.

Nieprawidłowe powierzenie danych, brak umowy powierzenia, zbyt ogólna umowa, brak kontroli nad podwykonawcami lub wybór podmiotu, który nie zapewnia odpowiednich zabezpieczeń, mogą prowadzić do naruszenia przepisów RODO. Mogą również zwiększać ryzyko nieuprawnionego dostępu do danych, ich utraty, ujawnienia lub wykorzystania niezgodnie z celem przetwarzania.

Podsumowanie

Powierzenie przetwarzania danych osobowych innym podmiotom jest dopuszczalne, ale wymaga zachowania określonych zasad wynikających z RODO. Administrator powinien korzystać wyłącznie z takich podmiotów, które dają wystarczające gwarancje bezpieczeństwa i zgodności z przepisami. Współpraca powinna być uregulowana umową powierzenia, która precyzyjnie określa zakres, cel, czas trwania i sposób przetwarzania danych, a także obowiązki podmiotu przetwarzającego.

Z perspektywy praktycznej najważniejsze jest, aby powierzenie danych nie było traktowane jako formalność. Jest to proces obejmujący ocenę podmiotu, zawarcie odpowiedniej umowy, nadzór nad realizacją usług, kontrolę dalszych podwykonawców oraz właściwe zakończenie przetwarzania po ustaniu współpracy. Tylko takie podejście pozwala zapewnić zgodność z RODO, ograniczyć ryzyko naruszeń oraz chronić prawa osób, których dane osobowe są przetwarzane.