Przetwarzanie danych osobowych na podstawie powierzenia w świetle RODO – część II

W ostatnim artykule na blogu MGS dotyczącym RODO omówione zostały zasady doboru przez administratora podmiotu przetwarzającego oraz treść umowy powierzenia przetwarzania danych osobowych wymaganą przepisami rozporządzenia.

Z punktu widzenia podmiotów przetwarzających RODO wprowadza istotne zmiany, które wymagają uwzględnienia w prowadzonej działalności. Przede wszystkich ustawodawca unijny wprost nakłada na podmiot przetwarzający obowiązki, które zasadniczo zmieniają rolę tego podmiotu i jego stosunek prawny z administratorem.

Zasady przetwarzania i podpowierzenie

RODO wprost wskazuje, że podmiot przetwarzający może przetwarzać powierzone dane osobowe wyłącznie na polecenie administratora. Wyjątkiem jest sytuacja, w której przetwarzanie jest wymagane przez przepisy prawa (unijne lub danego Państwa Członkowskiego) – wówczas przetwarzanie nie wymaga polecenia administratora.

W praktyce często spotykane jest tzw. podpowierzenie przetwarzania danych osobowych, tj. w zasadzie ich dalsze powierzenie kolejnemu podmiotowi. Ustawodawca unijny potwierdza dopuszczalność takiego rozwiązania, niemniej jednak uzależnia możliwość podpowierzenia od uzyskania uprzedniej i – co bardzo istotne – pisemnej zgody administratora. Zgoda administratora może mieć charakter ogólny, generalny albo szczegółowy, czyli uprawniać podmiot przetwarzający do dalszego powierzenia przetwarzania danych osobowych konkretnemu podmiotowi.

W przypadku uzyskania ogólnej zgody administratora RODO nakłada na podmiot przetwarzający dodatkowy obowiązek. W takiej sytuacji podmiot przetwarzający musi informować administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian. Z punktu widzenia podmiotu przetwarzającego istotne jest, aby w umowie z administratorem określić maksymalny termin na wyrażenie takiego sprzeciwu, ponieważ RODO go nie precyzuje. Zgoda administratora może zostać udzielona w umowie powierzenia przetwarzania danych osobowych, nie ma jednak przeszkód, by stanowiła odrębny dokument.

Korzystanie przez podmiot przetwarzający w ramach czynności przetwarzania z usług innego podmiotu wiąże się także z obowiązkiem odpowiedniego ukształtowania umowy podpowierzenia. Zgodnie z RODO konieczne jest zastrzeżenie w niej obowiązków dalszego przetwarzającego – takich, jakie spoczywają na pierwotnym podmiocie przetwarzającym. Umowa podpowierzenia powinna więc w zakresie obowiązków dalszego przetwarzającego mieć analogiczną treść jak umowa powierzenia. Należy mieć także na uwadze, że w przypadku niewywiązania się przez dalszego przetwarzającego z obowiązków ochrony danych osobowych, odpowiedzialność wobec administratora będzie spoczywać na pierwotnym podmiocie przetwarzającym.

Prowadzenie rejestru przetwarzania

Podmiot przetwarzający (zarówno pierwotny, jak i przetwarzający na podstawie dalszego powierzenia) ma obowiązek prowadzić rejestr wszystkich kategorii czynności przetwarzania, których dokonuje w imieniu administratora. Wskazany rejestr powinien zawierać informacje w zasadzie analogiczne jak rejestr prowadzony przez administratora, z tym zastrzeżeniem, że nie musi on wskazywać wszystkich poszczególnych czynności przetwarzania, a jedynie kategorie tych czynności. W praktyce oznacza to, że będzie on mniej szczegółowy. W rejestrze prowadzonym przez podmiot przetwarzający będą musiały znaleźć się następujące informacje:

  • imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
  • gdy ma to zastosowanie –przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku określonych w RODO przekazań także dokumentacja odpowiednich zabezpieczeń;
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Rejestr powinien mieć zgodnie z RODO formę pisemną, w tym formę elektroniczną. Zgodnie z poglądami prezentowanymi już na blogu MGS w praktyce rekomendowane jest prowadzenie go w obu tych formach (dla ułatwienia np. w formie elektronicznej z możliwością wygenerowania wersji pisemnej). Rejestr musi być ponadto udostępniany na żądania organu nadzorczego.

Obowiązek prowadzenia rejestru nie będzie miał zastosowania do podmiotów przetwarzających, którzy zatrudniają mniej niż 250 osób, chyba że dokonywane przetwarzanie:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego, lub
  • obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i naruszeń praw.

Wyznaczenie IODO

Podmiot przetwarzający może – analogicznie jak administrator – podlegać, po spełnieniu wskazanych w RODO przesłanek, obowiązkowi wyznaczenia inspektora ochrony danych osobowych. Obowiązek ten obejmuje podmiot przetwarzający, gdy:

  • jest organem lub podmiotem publicznym (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości). Pojęcie podmiotu publicznego zostanie doprecyzowane w przepisach krajowych;
  • główna działalność podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
  • główna działalność podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Szczegółowe informacje na temat wymagań wobec IODO oraz jego zadań i kompetencji zostaną przedstawione w odrębnym artykule na blogu MGS.

Relacja z administratorem i organem nadzorczym

Nowym obowiązkiem podmiotu przetwarzającego, który wymaga szczególnego podkreślenia, jest konieczność zgłoszenia administratorowi naruszenia ochrony danych osobowych – bez zbędnej zwłoki po jego stwierdzeniu. Jest to nierozerwalnie związane z obowiązkiem zgłaszania organowi nadzorczemu przez administratora swoich naruszeń. Z uwagi na brak jakiegokolwiek wyłączenia w tym zakresie, podmiot przetwarzający powinien zgłaszać administratorowi każde naruszenie, nawet jeśli w jego ocenie nie jest ono na tyle poważne, by podlegać notyfikacji do organu nadzorczego zgodnie z RODO. O zgłoszeniu do organu nadzorczego decyduje bowiem sam administrator. Zgłoszenie podmiotu przetwarzającego nie wymaga zachowania żadnej szczegółowej formy.

W ramach stosunku prawnego wynikającego z powierzenia istotny jest także obowiązek niezwłocznego poinformowania administratora przez podmiot przetwarzający, że jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych osobowych (zarówno unijnych, jak i krajowych).

Podmiot przetwarzający, podobnie jak administrator, będzie zobowiązany na żądanie współpracować z organem nadzorczym w ramach wykonywania przez niego zadań.

Zabezpieczenie danych osobowych

Ustawodawca unijny nakłada na podmiot przetwarzający także obowiązek wdrożenia odpowiednich zabezpieczenia danych osobowych. Podmiot przetwarzający, przy uwzględnieniu stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, będzie zobowiązany wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

Jako przykłady stosowanych środków RODO wskazuje:

  • pseudonimizację i szyfrowanie danych osobowych;
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Odpowiedzialność podmiotu przetwarzającego wynikająca z RODO

  • odpowiedzialność odszkodowawcza wobec osoby, której dotyczą dane osobowe

Zgodnie z RODO osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia tego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Należy jednak wskazać, że podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

Przepisy RODO przewidują także możliwość zwolnienia z odpowiedzialności, o ile podmiot przetwarzający udowodni, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody. Oznacza to, że podmiot przetwarzający będzie zwolniony z odpowiedzialności, jeżeli:

  • RODO nie formułowało wobec podmiotu przetwarzającego obowiązku, którego niewykonanie czy też nienależyte wykonanie spowodowało powstanie szkody;
  • podmiot przetwarzający działał niezgodnie z poleceniami administratora, przy czym były to polecenia niezgodne z prawem;
  • podmiot przetwarzający działał zgodnie z poleceniami administratora, które były zgodne z prawem.

RODO określa także przypadek uczestnictwa w przetwarzaniu więcej niż jednego podmiotu – administratora lub podmiotu przetwarzającego. W takiej sytuacji odpowiedzialność za szkodę jest solidarna, a w przypadku, gdy jeden z podmiotów uiścił całą kwotę odszkodowania, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność.

  • odpowiedzialność administracyjna – kary pieniężne

Organ nadzorczy w określonych w RODO przypadkach może nałożyć na podmiot przetwarzający karę pieniężną, która w zależności od konkretnego naruszenia wynosi:

  • do 10 milionów EUR, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym decyduje kwota wyższa, albo
  • do 20 milionów EUR, a w przypadku przedsiębiorstwa – do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym decyduje kwota wyższa.

Poza odpowiedzialnością określoną w RODO podmiot przetwarzający musi mieć także na uwadze odpowiedzialność cywilnoprawną wobec administratora, wynikającą z ewentualnego niewykonania lub nienależytego wykonania zawartej umowy powierzenia przetwarzania danych osobowych.

Anna Eliszewska – radca prawny