Outsourcing usług i związane z nim powierzanie przetwarzania danych osobowych są dziś często wykorzystywanym modelem działania. Przepisy ustawy o ochronie danych osobowych nie przewidują jednak złożonej regulacji w tym zakresie. Inaczej jest w przypadku przepisów ogólnego rozporządzenia o ochronie danych.
Artykuł 31 ustawy o ochronie danych osobowych przewiduje generalną możliwość powierzenia przetwarzania innemu podmiotowi, nie wskazując kryteriów, jakimi powinien kierować się administrator, dokonując wyboru podmiotu przetwarzającego.
Inaczej kwestię tę reguluje rozporządzenie ogólne. W art. 28 przewiduje możliwość powierzenia przetwarzania danych wyłącznie podmiotowi, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi określone w rozporządzeniu ogólnym i chroniło prawa osób, których dane dotyczą.
Przepisy rozporządzenia ogólnego zawierają podstawowe dyrektywy wyboru podmiotu przetwarzającego. Administrator przed dokonaniem powierzenia powinien upewnić się, że podmiot, któremu powierzy dane osobowe, będzie stosować szeroko rozumiane środki gwarantujące spełnienie wymogów rozporządzenia oraz poszanowanie praw osób, których dane osobowe podlegałyby powierzeniu.
Nowe przepisy o ochronie danych odchodzą od sztywnych wymogów w zakresie ich zabezpieczania i dokumentowania samych operacji przetwarzania. Zachowują technologiczną neutralność i pozostawiają duży margines swobody w podejmowaniu decyzji, jak zabezpieczyć dane.
W związku z tym ocena, czy dany podmiot stwarza wystarczające gwarancje, umożliwiające powierzenie, może być w wielu wypadkach trudna. Jeżeli administrator nie będzie miał pewności, że podmiot przetwarzający stwarza odpowiednie gwarancje, powierzenie zgodnie z przepisem art. 28 ust. 1 rozporządzenia ogólnego, będzie niedopuszczalne.
Przetwarzanie przez podmiot przetwarzający odbywać się może zgodnie z przepisami rozporządzenia ogólnego na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, a także określają kluczowe elementy, opisane poniżej.
Rozporządzenie przewiduje więc dwie możliwości: powierzenia na postawie umowy lub aktu prawnego, które muszą mieć formę pisemną, w której, jak wskazuje art. 28 ust. 9, mieści się forma elektroniczna. Kwestia ewentualnego wydawania aktów prawnych stanowiących podstawę i precyzujących ramy powierzenia nie będą analizowane w ramach niniejszego artykułu, choć opisywane wymogi stawiane umowie odnoszą się również do aktów prawnych.
Rozporządzenie ogólne reguluje kwestię elementów, które powinna określać umowa powierzenia, zdecydowanie szerzej niż ustawa o ochronie danych osobowych. Zgodnie z art. 31 ust. 2 ustawy, umowa taka powinna przewidywać zakres i cel przetwarzania.
Z kolei zgodnie z art. 28 ust. 3 rozporządzenia ogólnego, w umowie powierzenia należy określić:
Poza tym podstawowym katalogiem obszarów, które wymagają uregulowania umową powierzenia, rozporządzenie ogólne wymaga stanowi, że umowa powinna także:
Określenie w przepisach dość szerokiego katalogu obligatoryjnych elementów umowy powierzenia jest nowością na poziomie regulacyjnym. Warto jednak podkreślić, że taki zakres kwestii podlegających ustaleniu w umowie powinien być uwzględniany także w umowach podpisywanych przez administratorów zgodnie z art. 31 ustawy o ochronie danych osobowych.
Z tego względu, dla administratorów danych, którzy konstruują umowy powierzania w sposób bardziej rozbudowany, przepisy rozporządzenia ogólnego nie powinny oznaczać w tym zakresie wielu zmian. Administratorzy danych, którzy ograniczają dziś umowy wyłącznie do postanowień dotyczących zakresu i celu przetwarzania, powinni natomiast zadbać o stworzenie odpowiednich warunków powierzenia, także w sferze umownej.
Biorąc pod uwagę, że na administratorze danych ciąży obowiązek sprawowania kontroli nad danymi osobowymi oraz odpowiedniego ich zabezpieczenia, powierzając dane, administrator powinien zadbać nie tylko o to, by wskazać cel i zakres tego przetwarzania. Powinien także ustalić:
Od 25 maja 2018 r. administratorzy danych będą musieli wykazywać zgodność przetwarzania z przepisami rozporządzenia ogólnego, problem prawidłowego powierzania należy uwzględnić w praktyce administratora przed tą datą.
W przeciwieństwie do przepisów ustawy o ochronie danych osobowych, które nie odnoszą się do kwestii dalszego powierzania przetwarzania danych osobowych, rozporządzenie ogólne przewiduje taką możliwość. Jest ona uzależniona jednak od uzyskania uprzedniej i szczegółowej lub ogólnej i pisemnej zgody administratora danych osobowych.
Jeżeli więc procesor planuje przetwarzać dane powierzone mu do przetwarzania, korzystając z usług dalszych przetwarzających (dokonując outsourcingu określonych procesów), może to robić pod warunkiem uzyskania odpowiedniej zgody administratora.
Zgoda może być w myśl przepisów rozporządzenia ogólnego wyrażona przed dokonaniem dalszego powierzenia w sposób szczegółowy. W takim wypadku zgoda obejmować będzie konkretnego podprzetwarzającego.
W przypadku odwołania zgody na korzystanie z danego podprocesora podmiot przetwarzający, chcąc kontynuować współpracę z administratorem, będzie musiał albo zaprzestać dalszego zlecania wykonania określonych operacji przez inny podmiot w stosunku do danych powierzonych, albo skorzystać z usługi innego podmiotu, na korzystanie z usług którego zgodzi się administrator. Administrator może też wyrazić ogólną, pisemną zgodę na korzystanie z usług podprocesorów.
Wyrażenie blankietowej zgody, która nie wskazuje konkretnych dalszych przetwarzających, nie oznacza, że administrator jest pozbawiony informacji o tym, jakie inne niż procesor podmioty przetwarzają powierzone dane osobowe. W takim przypadku procesor ma bowiem obowiązek informowania administratora o wszelkich zamierzonych zmianach dotyczących dodania innych podmiotów przetwarzających lub zastąpienia innym podmiotu, któremu podpowierzył przetwarzanie danych. Administrator danych może wyrazić sprzeciw wobec proponowanych przez procesora podmiotów, którym ten zamierza podpowierzyć przetwarzanie danych osobowych.
Jeżeli administrator wyrazi zgodę (w jeden z dwóch dopuszczalnych sposobów) na dalsze powierzanie, umowa powinna nakładać na procesora obowiązek kontraktowego zobowiązania dalszego przetwarzającego do przestrzegania takich samych obowiązków i zasad, jakie obowiązują samego procesora w relacji z administratorem. W przeciwnym razie, zaniechania procesora w tym zakresie wiązać się będą z jego pełną odpowiedzialnością za zachowania podprocesora.
Niezależnie od obowiązków, jakie na podmiot przetwarzający nakładać ma umowa powierzenia, odpowiednie zadania i obowiązki przewidują także wprost przepisy rozporządzenia ogólnego, odwołując się wielokrotnie nie tylko do administratora, ale także do procesora.
Podmioty przetwarzające dane na podstawie umów powierzenia powinny zwrócić uwagę na przypisany im w art. 30 ust. 2 rozporządzenia obowiązek prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, obejmującego następujące informacje:
Podmiot przetwarzający ma obowiązek współpracy z organem nadzorczym.
Wprost odnoszą się do niego także przepisy wymagające wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa, adekwatny do zidentyfikowanych i ustalonych ryzyk oraz stosowanych i wybieranych z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania, charakteru, zakresu, kontekstu i celów przetwarzania.
Podmiot przetwarzający został uwzględniony również w procedurze zgłaszania naruszeń. Jednak, o ile administrator zobowiązanych jest do zgłaszania naruszeń ochrony danych bezpośrednio organowi nadzorczemu, o tyle procesor po stwierdzeniu naruszenia powinien je zgłosić niezwłocznie administratorowi danych. Operacje przetwarzania dokonywane przez procesora muszą być także uwzględniane przy ocenie skutków dla ochrony danych i mogą podlegać procedurze uprzednich konsultacji.
Podmiot przetwarzający jest zobowiązany w przypadkach określonych w art. 37 ust. 1 rozporządzenia powołać inspektora ochrony danych. W pozostałych przypadkach, tak jak administrator, procesor może (ale nie musi) wyznaczyć takiego inspektora. Do podmiotu przetwarzającego odwołują się przepisy przewidujące kary pieniężne nakładane w przypadkach określonych w art. 83 rozporządzenia ogólnego.
Nie ma przeszkód, by stosować wytyczne rozporządzenia ogólnego w zakresie prawidłowego powierzania przetwarzania danych już dziś. Co więcej, zastosowanie bardziej precyzyjnych postanowień w umowach powierzenia działa na korzyść administratora i może istotnie przyczynić się do podniesienia standardu ochrony danych u niego, dzięki podniesieniu poziomu wymagań względem procesora.
Konstruowanie umów powierzenia z uwzględnieniem brzmienia przepisu art. 28 rozporządzenia ogólnego należy w szczególności doradzić tym administratorom danych, którzy wiedzą, że współpraca, z której wynika powierzenie przetwarzania, trwać będzie przez dłuższy czas, także po 25 maja 2018 r.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
