Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Przed podjęciem decyzji odnośnie konieczności zawarcia umowy powierzenia, ocenie winien zostać poddany stan faktyczny, w ramach którego funkcjonują oba podmioty, pomiędzy którymi dochodzić będzie do przepływu danych. W praktyce niejednokrotnie, może okazać się, że zawieranie umowy powierzenia przetwarzania danych nie będzie konieczne, ponieważ role dwóch podmiotów uczestniczących w procesie przekazania danych ocenić trzeba będzie jako działanie niezależnych administratorów. Zaznaczyć w tym miejscu trzeba, że sama umowa powierzenia, o której mowa w art. 28 ust. 3 RODO, nie ma również charakteru konstytuującego proces powierzenie przetwarzania danych.
Oznacza to, że samej umowy nie można uznać jako warunkującej czy też kreującej stosunek powierzenia. Należy zgodzić się w tym miejscu z tezą, według której stosunek powierzenia przetwarzania danych istnieć może niezależnie od zawarcia umowy powierzenia. Jej brak zaś, winien być rozpatrywany jako brak formalny skutkujący naruszeniem przepisów unijnego rozporządzenia. Określenie analizowanego stanu faktycznego jako powierzenia przetwarzania danych osobowych, ma zatem charakter obiektywny. Istnieją jednak pewne kryteria, które pomogą nam w przeprowadzeniu stosownej oceny w tym zakresie.
Ważne:
Umowa powierzenia reguluje relacje pomiędzy administratorem i podmiotem przetwarzającym.
Nie będzie ona wymagana w przypadku przekazywania danych pomiędzy dwoma niezależnymi administratorami. Jeśli masz wątpliwości, jak odróżnić współadministrowanie od powierzenia przetwarzania, piszemy o tym tutaj.
Powierzenie przetwarzania danych
a udostępnienie danych osobowych
Regulacje prawne z zakresu ochrony danych osobowych, nie precyzują dokładnie czym tak naprawdę jest powierzenia przetwarzania danych osobowych. Istnieją jednak przepisy, które pozwalają na określenie pewnych cech charakterystycznych tej instytucji. Art. 4 pkt 8 RODO zawiera definicję samego podmiotu przetwarzającego, przez który należy rozumieć osobę fizyczną lub prawną, organ publicznym jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Z przywołanego przepisy wynika, że najistotniejszą cechą pozwalającą na określenie danego podmiotu mianem podmiotu przetwarzającego, jest to, iż działa on na zlecenie administratora (w jego imieniu i na jego rzecz). Słusznym zatem zdaje się poglądem, zgodnie z którym celniejszym określeniem takiego podmiotu, byłby zwrot: „podmiot przetwarzający na zlecenie”.[3] Taki zabieg pozwoliłby na faktyczne odróżnienie podmiotu zewnętrznego (nienależącego do struktury administratora) przetwarzającego dane w imieniu i na rzecz administratora, od np. pracowników, którzy również w ramach swoich obowiązków mogą przetwarzać dane osobowe w imieniu administratora.
Cezary Lutyński – nasz doradca ds. ochrony danych osobowych podpowie Ci, kiedy stosować powierzenie przetwarzania danych osobowych w Twojej firmie. Skontaktuj się z nim i umów na spotkanie.
Przetwarzanie danych osobowych w imieniu administratora będzie miało miejsce w sytuacji, gdy podmiot zewnętrzny świadczy pewne usługi na rzecz administratora, jednak nie musi to być główne zadanie zlecone podmiotowi zewnętrznemu. Czynności polegające na przetwarzaniu danych osobowych mogą być częścią składową lub mogą być bezpośrednio powiązane z wykonywaniem innych usług świadczonych przez podmiot zewnętrzny na rzecz administratora. Z powyższego wynika, iż istota powierzenia przetwarzania danych osobowych jest ściśle powiązania z pojęciem outsourcingu. Przez pojęcie outsourcingu należy rozumieć zlecenie podmiotom zewnętrznym, wyspecjalizowanym w określonym zakresie, realizacji procesów niezbędnych do funkcjonowania podmiotu zlecającego. Ideą takich działań jest realizacji określonego procesu w sposób efektywniejszy, niż miałoby to miejsce w wykorzystaniem jedynie zasobów samego podmiotu zlecającego. Innymi słowy, pojęcie outsourcingu winniśmy utożsamiać z rodzajem umowy w przedsiębiorstwie polegającej na tym, że czynności, które mogą być wykonywane przez sam podmiot lub jego pracowników, powierza się do wykonania podmiotowi trzeciemu. Celem outsourcingu jest zatem delegacja pewnych obowiązków z jednego przedsiębiorcy na drugi podmiot w sposób sformalizowany tj. na podstawie umowy zawartej pomiędzy tymi podmiotami.
W tym miejscu istotnym wydaje się również porównanie definicji administratora danych oraz podmiotu przetwarzającego, co pozwoli na określenie kolejnej istotnej cechy podmiotu przetwarzającego. Art. 4 pkt. 9 RODO wskazuje wprost, iż to administrator ustala cele i sposoby przetwarzania danych osobowych. Z powyższego wynika, że podstawową cechą powierzenia przetwarzania danych osobowych, jest to, że podmiot przetwarzający nie posiada pełnej swobody w zakresie działań podejmowanych na danych osobowych otrzymanych od administratora. Można w tym miejscu postawić tezę, iż rola procesora ma charakter wtórny, gdyż podejmuje on swoje działania na danych osobowych dopiero po tym jak sam administrator określi cel jak i sposób ich przetwarzania.
Mając na względzie powyższe, powierzeniem przetwarzania danych osobowych, możemy określić sytuację, gdy administrator, chcący skorzystać z usług zewnętrznego podmiotu przekazuje mu dane osobowe, za które jest odpowiedzialny. Jednocześnie działania tego podmiotu zewnętrznego związane z przetwarzaniem danych osobowych są ściśle związane z decyzją administratora, który to jest wyłącznie uprawniony do sprecyzowania celów i sposobów przetwarzania tych danych. Wszelkie czynności podejmowane przez podmiot zewnętrzny wykonywane są w imieniu i na rzecz administratora danych, na którego polecenie działa. Wszelkie istotne kwestie powierzenia przetwarzania danych osobowych winny zaś zostać uregulowane w umowie zawartej pomiędzy podmiotem przetwarzającym a administratorem (zgodnie z art. 28 RODO).
Ważne:
Najistotniejszą cechą podmiotu przetwarzającego, jest to, iż działa on na zlecenie administratora (w jego imieniu i na jego rzecz). Podmiot przetwarzający podejmuje swoje działania po tym jak administrator określi cele i sposoby przetwarzania danych.
Jak wspominano na wstępie niniejszego artykułu, przekazywanie danych pomiędzy dwoma podmiotami może być również zakwalifikowane jako udostępnienie tych danych. Podobnie jak przy pojęciu powierzenia przetwarzania danych osobowych, przepisy nie wprowadzają definicji udostępnienia danych osobowych. Niezależnie od powyższego pojęcie to jest powszechnie stosowane w praktyce. Poprzez udostępnienie danych należy rozumieć nic innego jak jedną z form przetwarzania danych osobowych, o czym stanowi sam art. 4 pkt. 2 RODO wskazując, że przetwarzanie oznacza operacje lub zestaw operacji na danych osobowych takich jak m.in. rozpowszechnianie lub innego rodzaju udostępnianie. Zgodnie z przyjętymi poglądami przedstawicieli doktryny, cechą charakterystyczną dla tej formy przetwarzania jest to, że dochodzi do niej w sytuacji, gdy dane przekazywane są pomiędzy dwoma podmiotami samodzielnie decydującymi o celach i środkach przetwarzania danych osobowych. W zw. z powyższym w przypadku tym odbiorcą danych będzie jedynie odrębny administrator. Należy zwrócić uwagę, że przy udostępnieniu danych, przepisy RODO nie przewidują szczególnych zasad jego wykonania np. konieczność zawarcie stosownej umowy. Charakter czynności udostępnienia danych należy zatem oceniać jako czynność faktyczną, co oznacza, że może ono nastąpić w dowolny sposób skutkujący uzyskaniem przez odbiorcę dostępu do danych osobowych, umożliwiającego mu rzeczywiste samodzielne podejmowanie decyzji odnośnie celów i sposobów przetwarzania tych danych. Nie możemy zatem mówić o udostępnieniu danych w relacji pomiędzy administratorem danych a podmiotem przetwarzającym w rozumieniu art. 4 pkt. 8 RODO, gdyż jak to wykazano już wcześniej, ten ostatni działania tylko i wyłącznie w zakresie celów i sposób określonych przez samego administratora.
Ważne:
Jeżeli okaże się, że nasz kontrahent do którego przekazujemy dane jest odrębnym administratorem, to dochodzi wówczas do udostępnienia danych osobowych. Oznacza to, że umowa powierzenia przetwarzania danych nie musi być zawierana.
Kim jest nasz kontrahent: odrębnym administratorem
czy podmiotem przetwarzającym ?
Analiza konieczności zawarcia umowy powierzenia przetwarzania danych osobowych
Kwalifikowanie podmiotów do jednej z dwóch kategorii tj. administrator czy też podmiot przetwarzający ma charakter obiektywny i następuje w związku z konkretnymi okolicznościami, podejmowanymi decyzjami gospodarczymi, oceną, kto podejmuje decyzje co do celu przetwarzania danych osobowych oraz sposobów, jakimi się ono odbywa.[8] Prawidłowe określenie podmiotów uczestniczących w analizowanym procesie przetwarzania danych, pozwoli zaś na zidentyfikowanie czy w jego ramach dochodzi do powierzenia przetwarzane danych osobowych i w zw. z tym czy koniecznym jest zawieranie umowy wymaganej przez art. 28 RODO.
Dla prawidłowego zakwalifikowania poszczególnych podmiotów w ramach wyżej wymienionych kategorii, koniecznym jest ich przeanalizowanie pod kątem cech charakterystycznych dla odrębnego administratora. W tym zakresie pomocna będzie opinia 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający” 00264/10/PL WP 169 z dnia 16 lutego 2010 r. wydana przez Grupę Roboczą Art. 29. Pomimo, iż została ona wydana pod rządami starej dyrektywy z zakresu ochrony danych 95/46/WE, zachowuje ona swą aktualność w zakresie wyjaśnienia poruszonych w nich pojęć.
Wskazanie w relacji pomiędzy dwoma podmiotami tego, który określa cele i sposoby przetwarzania danych, powinno być oparte o okoliczności zarówno prawne jak i faktyczne. Z nich bowiem może wynikać zależność jednego podmiotu od drugiego bądź też samodzielność obu podmiotów. Przywołana opinia Grupy Roboczej Art. 29, wymienia elementy, które mogę być kluczowe dla wskazania administratora oraz podmiotu przetwarzającego:
- Kontrola nad przetwarzanymi danymi wynikająca z wyraźnych kompetencji prawnych
Dotyczy to sytuacji, gdy administrator danych lub szczegółowe kryteria potrzebne do jego określenia wynikają wprost z obowiązujących przepisów prawa. Bezpośrednie określenie w przepisie prawa, iż konkretny podmiot jest administratorem danych nie powinno budzić wątpliwości. Trzeba bowiem zwrócić uwagę, iż samo RODO wskazuje, że przepisy w prawie Unii lub prawie państwa członkowskiego, mogą wprost wyznaczać administratora danych bądź też mogą precyzować konkretne kryteria wyznaczenia administratora (patrz. art. 4 pkt. 7 RODO).
W tym miejscu można również wskazać sytuację, w której przepisy prawa nakładają na określony podmiot jedynie obowiązek przetwarzania danych osobowych. Podmioty, na które został nałożony obowiązek gromadzenia określonego zakresu danych osobowych winny być uznawane za odrębnych administratorów. - Kontrola nad przetwarzanymi danymi wynikająca z dorozumianej kompetencji
Z przesłanką tą możemy się spotkać w sytuacji, w której przepis prawa nie określa wprost roli podmiotu jako administratora ani nie wskazuje na obowiązek gromadzenia przez określony podmiot danych osobowych. Rola podmiotu jako administratora może jednak wynikać wówczas z pewnej utrwalonej praktyki. Kluczowe dla zidentyfikowania administratora w takim przypadku mogą być tradycyjne role, ukształtowane w ramach przyjętych praktyk np.: pracodawca w odniesieniu do danych dotyczących jego pracowników, wydawca w odniesieniu do danych dotyczących abonentów, stowarzyszenie w odniesieniu do danych dotyczących jego członków lub osób wspierających. - Kontrola nad przetwarzaniem danych wynikająca z faktycznego wpływu
Ostatnie z kryteriów odnosi się już bezpośrednio do oceny okoliczności danego przypadku. Wynika to z faktu, iż brak jest przepisów szczególnych regulujących kwestię administrowania danymi lub ich gromadzenia oraz nie wykształciła się żadna praktyka w tym zakresie. W większości takich przypadków analizę będziemy rozpoczynać od oceny stosunków umownych zachodzących pomiędzy podmiotami występującymi w procesie przetwarzania danych osobowych. Podkreślenia wymaga, że przydzielenie odpowiedniego statusu (administratora lub podmiot przetwarzający) poszczególnym stronom umowy, winno być zawsze zweryfikowane z faktycznym poziomem kontroli nad przetwarzaniem danych sprawowanym przez te podmioty. To ostatnie kryterium zdaniem autora winno mieć charakter wiążący przy określaniu administratora. Podmiotu, który nie ma prawnej ani faktycznej kontroli nad określaniem celu i sposobu przetwarzania danych osobowych, nie można uważać za administratora danych.
Określanie celów i sposobów przetwarzania danych –
co to naprawdę oznacza?
Bezpłatna wiedza o RODO.
Korzystaj do woli!
odkreślenia wymaga, że określenie sposobów przetwarzania danych nie powinno być łączone jedynie z podjęciem decyzji odnośnie środków technicznych stosowanych w procesie przetwarzania. Określenie sposobów przetwarzania danych obejmuje oprócz kwestii technicznych również aspekty organizacyjne oraz elementy zasadnicze samego przetwarzania. Do tej ostatniej grupy zaliczymy następujące zagadnienia: jakiego rodzaju dane się przetwarza?, jak długo dane będą przetwarzane?, jakie osoby trzecie mają dostęp do tych danych?, kiedy usuwa się dane?, kto ma dostęp do danych?. Należy zgodzić się z tezą przedstawioną w powoływanej opinii Grupy Roboczej Art. 29, że określenie wyżej wymienionych elementów zasadniczych w zakresie sposoby przetwarzania danych jest wyłącznym uprawnieniem administratora. W pozostałym zakresie tj. podjęcia decyzji odnośnie stosowanych konkretnych środków technicznych oraz organizacyjnych może ona zostać delegowana na podmiot przetwarzający (np. w zakresie stosowanego sprzętu komputerowego lub oprogramowania). Podkreślenia jednak wymaga, że przyjęte środki techniczne i organizacyjne powinny być adekwatne dla osiągnięcia celów przetwarzania, które to zaś są określane wyłącznie przez administratora.
Przez cel przetwarzania należy zaś rozumieć zamierzony rezultat, efekt, określonego działania (przetwarzania danych osobowych). Według art. 5 ust. 1 lit. b RODO, cel ten winien być określony w sposób konkretny, wyraźny, prawnie uzasadniony i nie powinien podlegać swobodnej zmianie w trakcie czynności przetwarzania danych.[12] Ktokolwiek podejmuje tę decyzję jest (faktycznie) administratorem danych. Jeżeli zatem podmiot przetwarzający będzie miał wpływ na określenie celów lub wykorzystywać będzie dane osobowe dla osiągnięcia własnych celów, co do zasady powinien on zostać uznany za odrębnego administratora danych.
Podsumowując, należ wskazać, że w sytuacji, w której żaden z charakterystycznych elementów wymienionych w ramach niniejszego artykułu nie znajdzie zastosowania przy ocenie określonego podmiotu, brak będzie podstaw do określania go mianem administratora danych. Oznacza to zatem, że będzie on podmiotem przetwarzającym dane na zlecenie administratora, co zaś przesądzi o konieczności zawarcia umowy powierzenia z art. 28 RODO.
Pobierz: wzór umowy powierzenia zgodny z RODO