Czy zgodnie z RODO można powierzyć przetwarzanie danych bez umowy

Najczęściej z powierzeniem przetwarzania danych osobowych można się spotkać w sytuacji, kiedy administrator danych, korzysta z usług podmiotów zewnętrznych. Mowa o outsourcingu usług. W praktyce istota tej formy współpracy sprowadza się do podnajęcia podmiotu zewnętrznego do wykonywania określonych usług zleconych zamiast zatrudniania do wykonania tych czynności pracownika. Jako przykład można podać usługi kadrowe, płacowe, prawnicze, informatyczne, marketingowe, bhp czy ochrony mienia i osób.

Administratorzy danych podpisują zatem z podmiotem zewnętrznym umowę o współpracy, w ramach której często zobowiązują się do przekazywania podmiotowi zewnętrznemu wszelkich informacji niezbędnych do prawidłowego realizowania postanowień zawartej umowy, a w tym danych osobowych – co jest istotą outsourcingu np. kadrowego. Niestety, podpisanie samej umowy o współpracy nie jest wystarczające, aby przekazanie danych osobowych, np. pracowników czy klientów, było legalne.

Zgodnie z art. 4 pkt 1 RODO dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Dalej RODO tłumaczy, że osoba fizyczna możliwa do zidentyfikowania to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie takiego identyfikatora jak:

• imię i nazwisko,
• numer identyfikacyjny,
• dane o lokalizacji,
• identyfikator internetowy lub
• jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.   

W konsekwencji za dane osobowe uznawane są takie komunikaty czy też wiadomości, które dostarczają zindywidualizowanej wiedzy o danym człowieku. Identyfikacja z kolei to zespół określonych informacji, czynników identyfikacyjnych, które szczególnie wiążą się z konkretną osobą, przez które może dojść do jej rozpoznania, czyli ustalenia tożsamości. Zgodnie z prawem ochrony danych osobowych administratorem danych jest każdy podmiot, który decyduje o środkach i celach przetwarzania danych osobowych. Na gruncie ogólnego rozporządzenia o ochronie danych można też mówić o współadministratorze danych osobowych.

Do 25 maja 2018 r. powierzenie przetwarzania danych osobowych powinno odbywać się na podstawie wciąż obowiązującej ustawy o ochronie danych osobowych. Powierzenie danych oparte jest na dwustronnym stosunku prawnym, na mocy którego następuje przekazanie danych osobowych. W wyniku powierzenia danych administrator nie traci kontroli nad danymi, ponieważ nadal decyduje o środkach i celach ich przetwarzania.

Z kolei procesor (podmiot, któremu powierzono dane osobowe), przetwarzając powierzone dane osobowe, nie staje się ich administratorem. Odpowiedzialność procesora jest przy tym analogiczna do odpowiedzialności administratora danych osobowych. Ustawa nie określa wymaganych elementów umowy powierzenia przetwarzania danych, niemniej powinna być zawarta w formie pisemnej. Niezachowanie tej formy powoduje niespełnienie przesłanki określonej w art. 31 ustawy o ochronie danych osobowych.  

Ogólne rozporządzenie o ochronie danych reguluje powierzenie przetwarzania danych osobowych w art. 28. Zgodnie z nim, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą, np. pracowników lub klientów. Jednocześnie podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora.

Powierzenie przetwarzania danych osobowych, zgodnie z zasadami ogólnego rozporządzenia o ochronie danych, musi przyjąć formę umowy lub innego instrumentu prawnego (który podlega prawu Unii Europejskiej lub prawu państwa członkowskiego i wiąże podmiot przetwarzający z administratorem). Taka umowa lub inny instrument prawny musi określać:

• przedmiot i czas trwania przetwarzania,
• charakter i cel przetwarzania,
• rodzaj danych osobowych oraz kategorie osób, których dane dotyczą,
• obowiązki i prawa administratora.

Ponadto umowa lub inny instrument prawny muszą regulować w szczególności, że procesor:

• będzie przetwarzał dane osobowe wyłącznie na podstawie udokumentowanego polecenia administratora,
• zapewni zachowanie tajemnicy przetwarzanych danych osobowych,
• zagwarantuje odpowiednie bezpieczeństwo ich przetwarzania,
• udzieli pomocy administratorowi w wypełnianiu jego obowiązków względem osoby, której dane dotyczą, lub Prezesa Urzędu Ochrony Danych Osobowych oraz
• usunie lub zwróci dane po zakończeniu ich przetwarzania.

Jeżeli podmiot przetwarzający będzie chciał skorzystać z usług innego procesora, będzie musiał uzyskać na to uprzednią – szczegółową lub ogólną – zgodę administratora.

Pojęcie „inny instrument prawny” nie jest wprost uregulowane przez ogólne rozporządzenie o ochronie danych. W konsekwencji rozumienie tego wyrażenia należy interpretować zgodnie z dostępnymi zasadami wykładni oraz praktyki z dziedziny ochrony danych osobowych. Jak twierdzą niektórzy przedstawiciele doktryny, „inny instrument prawny” dotyczy w szczególności relacji prawnych pomiędzy podmiotami ze sfery prawa publicznego, tj. organów i podmiotów publicznych.

WAŻNE

Na gruncie obowiązującej ustawy o ochronie danych osobowych wielokrotnie można było spotkać się z praktycznym problemem współadministrowania danymi osobowymi. Ustawa o ochronie danych osobowych nie znała definicji współadministrowania danymi osobowymi, niemniej jednak na gruncie nauki prawnej twierdzono, że „o ile dany podmiot wspólnie (…) z innym podmiotem decyduje o celach i sposobach przetwarzania danych osobowych, to można wówczas mówić o współadministrowaniu danymi osobowymi przez te podmioty”. Tego typu przypadki najczęściej dotyczyły np. wspólnego rozliczania przez organy administracji publicznej środków unijnych.

Przykład ten koresponduje z koncepcją odnoszenia „innego instrumentu prawnego” do relacji prawnych pomiędzy organami a podmiotami publicznymi. To pomiędzy organami państwowymi lub organami samorządu terytorialnego można szukać relacji prawnoadministracyjnych opartych na instrumentach prawnych takich jak ustawy, rozporządzenia, akty prawa miejscowego itp., których istotą jest przekazanie określonemu organowi danych osobowych będących w posiadaniu innego organu administracji publicznej.

„Inny instrument prawny” może dotyczyć sfery prawa prywatnego. Przykładem ilustrującym tego typu przypadek jest to, że dotychczas spółki wchodzące w skład grupy kapitałowej były traktowane jak osobni administratorzy danych. Dlatego też w relacjach pomiędzy nimi (pomimo formalnoprawnego statusu grupy kapitałowej) musiały zawierać umowy powierzenia.

Ogólne rozporządzenie o ochronie danych wychodzi naprzeciw tego typu przypadkom, wskazując na inny instrument prawny, gdy chodzi np. o wewnętrzne regulacje prawne grup kapitałowych. Często sformalizowane relacje prawne pomiędzy nimi zakładają konieczność przekazania sobie wzajemnie danych osobowych. Tak może być w przypadkach składania określonych raportów do centrali lub pomiędzy podmiotami tworzącymi tę grupę. W tym przypadku będzie mogło dojść do powierzenia przetwarzania danych osobowych na podstawie tych wewnętrznych regulacji prawnych. Jeśli spełnią one przesłanki art. 28 RODO, będą mogły mieć status „innego instrumentu prawnego”.