Od 25 maja br. rozporządzenie RODO zaostrzy wymagania, jakie są zobowiązani spełnić przedsiębiorcy, którzy powierzają dane osobowe podmiotom trzecim. Przede wszystkim żąda od administratora danych starannego wyboru podmiotu, który ma przetwarzać dane osobowe na zlecenie. Wprowadza też nowe wymogi dotyczące formy i treści umowy zawieranej z przetwarzającym. Dla przedsiębiorców oznacza to, że jeszcze przed 25 maja powinni sprawdzić, czy umowy zostały zawarte w odpowiedniej formie, a w razie potrzeby zmodyfikować ich treść tak, aby spełniała nowe wymogi. W przeciwnym razie grożą im surowe kary.
Zdążyć przed RODO
25 maja 2018 r. zacznie być stosowane RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1). Weszło ono w życie już w maju 2016 r., ale unijny legislator dał przedsiębiorcom dwa lata na dostosowanie się do wymagań. W serii artykułów poradniczych przybliżamy najważniejsze zmiany i nowe obowiązki w zakresie ochrony danych osobowych wynikające z RODO.
Prowadzący działalność gospodarczą bardzo często korzystają z usług innych podmiotów. To naturalne nie tylko w przypadku działalności na dużą skalę (np. banków czy zakładów ubezpieczeń), lecz także niewielkich podmiotów (np. prowadzących działalność polegającą na handlu elektronicznym). Konieczność korzystania z wyspecjalizowanych usług może wynikać z wielu powodów, np. z braku kompetencji w wybranych obszarach, niewystarczającej liczby pracowników mogących skupić się na pewnych zadaniach czy też braku własnej infrastruktury informatycznej. Równie dobrze jednak może kryć się za tym strategia biznesowa i chęć ograniczenia kosztów. Właściwie każdy obszar działalności przedsiębiorstwa można wspierać usługami świadczonymi przez podmioty trzecie. W praktyce przedsiębiorcy zlecają np. usługi księgowe i podatkowe, przechowywanie kopii zapasowych danych przetwarzanych w przedsiębiorstwie, prowadzenie archiwum dokumentów, prowadzenie call center, utrzymanie stron internetowych czy zapewnianie dostępu do poczty elektronicznej albo serwera plików. Usługi te mogą dotyczyć nawet przejęcia zadań określonych działów w firmie – np. działu kadr – w związku z rekrutacją pracowników albo dokonywaniem oceny ich pracy, czy też działu marketingu – kiedy to przedsiębiorca chce korzystać z usług wyspecjalizowanych agencji marketingowych. Rzecz w tym, że podmioty te najczęściej uzyskują dostęp do danych osobowych, które przetwarzają na potrzeby świadczonej usługi. Dzieje się tak zarówno wtedy, gdy np. na zlecenie przedsiębiorcy przechowują kopie zapasowe danych z systemów IT we własnej infrastrukturze, jak i wtedy, gdy, prowadząc kampanię marketingową, zbierają dane osobowe potencjalnych klientów. Przykładem takiego powierzenia jest także korzystanie z usług opartych na przetwarzaniu danych w chmurze obliczeniowej.
Powierzenie przetwarzania danych podmiotom zewnętrznym wymaga spełnienia wymogów stawianych przez prawo, zarówno przez jeszcze obowiązującą ustawę z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922 ze zm.; dalej: u.o.d.o.), jak i wynikających z przepisów unijnego ogólnego rozporządzenia o ochronie danych (dalej: RODO).
OBECNY STAN PRAWNY
Obowiązująca ustawa o ochronie danych osobowych zezwala na korzystanie z podmiotów przetwarzających dane osobowe na zlecenie (procesorów). Na jej podstawie administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych osobowych.
Kwestia umowy powierzenia w obecnym stanie prawnym na gruncie u.o.d.o. sprowadza się do dwóch kluczowych wymogów:
● musi mieć ona formę pisemną,
● musi określać zakres i cel przetwarzania danych przez podmiot trzeci.
Ponadto podmiot przetwarzający dane na zlecenie nie może w żadnym przypadku przetwarzać ich na swoje potrzeby.
Forma umowy. W dotychczasowej praktyce administratorzy i procesorzy (podmioty, które przetwarzają dane na zlecenie administratora), aby spełnić minimalne wymagania wynikające z ustawy o ochronie danych osobowych, zawierali albo odrębną, dedykowaną umowę powierzenia, albo dodawali niezbędne postanowienia wymagane na gruncie ustawy do umowy głównej, np. o świadczenie usług księgowych albo usług marketingowych. Oba rozwiązania miały swoje zalety i wady, oba też były dopuszczalne.
Odpowiedzialność przetwarzającego. Na gruncie obecnie obowiązujących przepisów u.o.d.o. przetwarzający odpowiada tylko za zabezpieczenie danych zgodnie z przepisami. Nie odpowiada natomiast za legitymowanie się przez administratora właściwą podstawą prawną do przetwarzania danych, za niedopełnienie obowiązków informacyjnych albo za niezgłoszenie zbioru danych do rejestracji generalnemu inspektorowi ochrony danych osobowych. Ta odpowiedzialność spoczywa w całości na administratorze danych.
Wybór podmiotów. Obecnie ustawa nie nakłada na administratora danych specjalnych wymogów co do procesu wyboru podmiotów, które miałyby przetwarzać dane na zlecenie, poza koniecznością zawarcia umowy w formie pisemnej. Taka sytuacja nie jest jednak korzystna dla osób, których dane osobowe są powierzane do przetwarzania. W efekcie nie zawsze przetwarzaniem zajmują się podmioty przykładające należytą uwagę i staranność do kwestii bezpieczeństwa. Zdarza się, że dostęp do szczególnie ważnych danych osobowych posiadają podmioty, które nie gwarantują poszanowania zasad bezpieczeństwa danych. Bywa, że są wybierane tylko dlatego, iż świadczone przez nie usługi są kosztowo korzystniejsze w porównaniu do oferty firm konkurencyjnych.
CO SIĘ ZMIENI PO WEJŚCIU RODO
Ustawodawca unijny radykalnie zaostrzył wymogi, jakie są zobowiązani spełnić korzystający z usług procesorów. Przede wszystkich w zakresie ich selekcji, ale także podpisywanej z nimi umowy.
Zgodnie z przepisami RODO, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, jest on zobowiązany korzystać wyłącznie z usług takich podmiotów przetwarzających (procesorów), które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą (tak wynika z art. 28 ust. 1 RODO).
Obowiązek selekcji
Ustawodawca unijny całkowicie zmienił stanowisko w kwestii korzystania z zewnętrznych usług przetwarzania danych. Wymaga bowiem od administratora przeprowadzenia selekcji dostawców takich usług. Oznacza to, że rolą administratora przed zawarciem umowy jest przede wszystkim ocena tego, czy dostawca ten rzeczywiście wystarczająco gwarantuje wdrożenie środków technicznych i organizacyjnych, które będą odpowiednie, by przetwarzanie odpowiadało wymogom nowego prawa, ale też by odpowiednio były chronione przy tym prawa osób, których dane będą przedmiotem powierzenia. To o tyle nowa sytuacja, że wymaga pewnej dojrzałości zarówno od administratora, jak i od podmiotu przetwarzającego. Ten pierwszy jest bowiem w praktyce zobowiązany do stworzenia mechanizmu (procedury) wyboru dostawcy usługi i stosowania tego mechanizmu w odniesieniu do każdego z nich, a ten drugi – do stosowania takich środków bezpieczeństwa, które są „odpowiednie”. Unijny prawodawca nie definiuje tego pojęcia, zatem przy wyborze środków bezpieczeństwa należy się opierać na ocenie ryzyka związanego z przetwarzaniem określonych danych.
Weryfikacja kontraktów
W konsekwencji, z punktu widzenia administratora danych nie jest dopuszczalna sytuacja, w której korzysta on z takiego podmiotu przetwarzającego dane osobowe na zlecenie, którego nie zweryfikowano pod kątem gwarancji spełnienia wymogów wynikających z przepisów RODO. W praktyce z jednej strony może to oznaczać konieczność zakończenia współpracy z niektórymi dostawcami usług, którzy nie dostosują swojej działalności do nowych wymogów. Z drugiej strony można się spodziewać zwiększenia kosztów ponoszonych przez procesorów na bezpieczeństwo. Te koszty, co naturalne, zostaną w takiej czy innej formie przeniesione na administratorów.
Ograniczenia w podwykonawstwie
Co więcej, jak wynika z przepisów RODO, podmiot przetwarzający nie może korzystać z usług innego (dalszego) podmiotu przetwarzającego bez uprzedniej, szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian. Oznacza to, że w sytuacji, gdy podmiot przetwarzający (dostawca) korzysta z poddostawców, to oni również muszą dostosować się do nowych wymogów, zarówno jeżeli chodzi o środki bezpieczeństwa, jak i treść umowy zawieranej z procesorem.
Nowa umowa powierzenia
Prawodawca unijny wymaga od administratorów i procesorów zawarcia umowy powierzenia przetwarzania danych o określonej treści. Obligatoryjna treść tej umowy jest zawarta w art. 28 ust. 3 RODO. Została znacząco rozbudowana w stosunku do tej, którą polscy przedsiębiorcy znają z ustawy o ochronie danych osobowych.
Forma. Umowa ma mieć formę pisemną (w tym np. elektroniczną). Pomimo istniejących kontrowersji wobec definicji umowy w formie elektronicznej opowiedzieć się należy za stanowiskiem, zgodnie z którym zawarcie takiej umowy będzie spełniało wymogi RODO, o ile będzie ona miała formę dokumentową zgodnie z art. 772 kodeksu cywilnego. Wynika to choćby z konieczności umożliwienia prostego, masowego zawierania umów przez dostawców usług przetwarzania działających globalnie. Służy to nie tylko samym dostawcom, lecz także administratorom danych, którzy uzyskują łatwiejszy dostęp do szerokiej gamy usług świadczonych z dowolnego miejsca na świecie.
Obowiązkowe elementy. Zgodnie z przepisami RODO umowa ta wiąże podmiot przetwarzający i administratora. Powinna określać m.in.:
● przedmiot i czas trwania przetwarzania,
● charakter i cel przetwarzania,
● rodzaj danych osobowych,
● kategorie osób, których dane dotyczą,
● obowiązki i prawa administratora.
RODO wskazuje ponadto obowiązki procesora, jakie powinny być w niej określone (pełna lista jest zawarta w art. 28 ust. 2 RODO, przytaczamy ją w ramce nr 1).
Inne ważne postanowienia. W praktyce umowa powierzenia będzie obejmowała znacznie szerszy katalog postanowień niż wskazany wprost w art. 28 RODO. Innymi słowy, dla zapewnienia bezpieczeństwa danych osobowych nie wystarczy posłużenie się minimalnym zakresem postanowień uznawanych przez unijnego prawodawcę za kluczowe z jego punktu widzenia.
Warto pokusić się o nałożenie na procesora dodatkowych obowiązków związanych z przetwarzaniem danych, np. dotyczących kwestii odszkodowania, które potencjalnie może nałożyć na administratora organ nadzoru w przypadku gdyby procesor nie wywiązał się ze swoich obowiązków.
Można także zastanowić się nad ustanowieniem kar umownych, jeżeli procesor nie będzie chciał w sposób wystarczająco sprawny przekazywać informacji administratorowi, albo gdy nie umożliwi on przeprowadzenia audytu (inspekcji) przez administratora albo podmioty przez niego wyznaczone.
Współpraca pomiędzy stronami
W nowych przepisach największy nacisk położono na kwestię współpracy pomiędzy administratorem a podmiotem przetwarzającym dane na zlecenie.
Polecenia koniecznie pisemne. W ramach współpracy przy przetwarzaniu danych procesor jest zobowiązany do kierowania się wyłącznie poleceniami administratora danych, i to tylko takimi, które są udokumentowane.
Obowiązek wsparcia. Procesor – w miarę możliwości – pomaga administratorowi przez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO, a więc np. przy spełnianiu żądań dostępu do danych, usunięcia danych albo korzystania z prawa do przenoszalności danych.
Prawo do audytu. Elementem współpracy pomiędzy administratorem a procesorem jest także prawo do audytu. Administrator powinien mieć w tym zakresie możliwość sprawdzenia sposobu stosowania przez procesora środków technicznych i organizacyjnych gwarantujących spełnienie wymogów rozporządzenia. W praktyce zasady przeprowadzania tego typu kontroli polscy przedsiębiorcy powinni doprecyzować w umowie, określając np. czas, w którym administrator powinien notyfikować kontrolę procesorowi, zakres dostępu do odpowiednich dokumentów czy infrastruktury IT, kwestię wytycznych przekazywanych procesorowi co do sposobu dodatkowego zabezpieczenia danych i inne.
Dodatkowo, uwzględniając charakter przetwarzania oraz dostępne mu informacje, procesor jest zobowiązany do pomagania administratorowi w wywiązywaniu się przez tego ostatniego z obowiązków określonych w art. 32–36 RODO, a zatem udziela administratorowi wsparcia w przypadkach naruszenia bezpieczeństwa danych czy też pomaga przy dokonywaniu oceny wpływu przetwarzania na ochronę danych, o ile jest w posiadaniu niezbędnych do tego informacji.
Co trzeba zrobić przed 25 maja
Umowy powierzenia o nowym brzmieniu powinny być zawarte przed 25 maja 2018 r., na warunkach wskazanych w art. 28 RODO. To oznacza, że proces ich zawierania należy rozpocząć jak najszybciej, także dlatego, iż zawarcie umowy musi być poprzedzone rzetelną analizą gwarancji oferowanych przez podmiot przetwarzający co do spełniania przez niego wymogów RODO. Można się także spodziewać, że sama treść umowy powierzenia będzie negocjowana przez strony z większą uwagą i starannością niż do tej pory.
RAMKA 1
Obowiązki procesora
RODO w art. 28 precyzyjnie wymienia elementy, które powinna zawierać umowa powierzenia, w tym m.in. wskazuje obowiązki procesora, jakie powinny być w niej określone.
Zgodnie z art. 28 ust. 2 RODO przetwarzanie danych osobowych przez podmiot przetwarzający (...) odbywa się na podstawie umowy, która stanowi w szczególności, że podmiot przetwarzający:
a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora;
b) zapewnia, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub aby podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
c) podejmuje wszelkie środki wymagane na mocy przepisów art. 32 RODO;
d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego (dalszego procesora);
e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w przepisach RODO;
f) pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO;
g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo nakazuje przechowywanie danych osobowych;
h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
RAMKA 2
Konsekwencje zaniechania: nawet 10 mln euro kary
Jeżeli administrator nie zawrze z podmiotem przetwarzającym umowy powierzenia na nowych warunkach, albo gdy podmiot przetwarzający nie spełni wymogów wskazanych w art. 28 RODO, organ nadzoru może nałożyć na administratora sankcję finansową do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.