PROBLEM
Przedsiębiorca korzysta z usług biura rachunkowego, któremu przekazuje dane osobowe swoich pracowników. W tym celu ma zawartą z tym biurem umowę powierzenia przetwarzania danych osobowych. Czy taka umowa będzie ważna po 25 maja 2018 r., gdy zaczną być stosowane przepisy ogólnego rozporządzenia o ochronie danych (RODO)? Czy trzeba będzie pytać pracowników o zgodę na przekazanie ich danych?
RADA
Ani obecnie, ani po 25 maja 2018 r. pracodawca nie musi pozyskiwać od osób, które zatrudnia, zgody na przekazanie ich danych do biura rachunkowego, które na jego zlecenie prowadzi rozliczenia kadrowo-płacowe. Musi mieć jedynie zawartą umowę powierzenia przetwarzania danych. Jej ważność po rozpoczeciu stosowania RODO, zależy od tego, czy zawiera ona elementy, na które wskazuje RODO. Ponadto biuro rachunkowe będzie miało nowe obowiązki jako tzw. procesor. Wskazane jest więc sprawdzenie, czy obecna umowa zawiera elementy wymagane przez RODO i zapewnia realizację nowych obowiązków przez procesora względem administratora danych.
UZASADNIENIE
Od 25 maja 2018 r., gdy zaczną być stosowane przepisy ogólnego rozporządzenia o ochronie danych (RODO), przekazanie przez pracodawcę danych osobowych pracowników biuru rachunkowemu w dalszym ciągu nie będzie wymagało uzyskania zgody tych osób. Jednak żeby takie postępowanie było zgodne z prawem, tak jak i do tej pory, trzeba będzie mieć zawartą umowę powierzenia przetwarzania danych.
Z przepisów RODO nie wynika wprost, by konieczne było podpisywanie nowych umów powierzenia przetwarzania danych. Niemniej w wielu przypadkach taka konieczność może zaistnieć, gdyż RODO wymusza wprowadzenie do umów powierzenia elementów, które obecnie nie są obligatoryjne. Nie można jednak wykluczyć, że zostały one w jakichś umowach uwzględnione.
Dotychczas uregulowane było jedynie to, że umowa powierzenia przetwarzania danych powinna być zawarta na piśmie (art. 31 ust. 1 ustawy o ochronie danych osobowych). Ponadto taka umowa powinna określać zakres oraz cel przetwarzania danych, a także prawa i obowiązki zarówno administratora danych, czyli podmiotu zlecającego, jak i podmiotu, któremu powierzono przetwarzanie danych. Podmiot, któremu powierzono przetwarzanie danych, może bowiem wykorzystywać je wyłącznie w zakresie i celu przewidzianym w umowie (art. 31 ust. 2 ustawy o ochronie danych osobowych). Ustawodawca pozostawił stronom zawierającym umowę powierzenia przetwarzania danych swobodę co do tego, jaka to ma być umowa, jaka ma być jej treść, o ile zachowane zostaną wymagania określone w art. 31 ustawy o ochronie danych osobowych, tj. zostanie oznaczony zakres operacji na danych osobowych i cel ich przetwarzania. W doktrynie wskazywano, że nie ma przeszkód do określenia wyżej wskazanych elementów treści umowy powierzenia przetwarzania danych osobowych w innej umowie, pod warunkiem że jest ona zawarta na piśmie.
W umowach powierzenia zawieranych zgodnie z art. 31 ustawy o ochronie danych osobowych nie było potrzeby określania wymagań dotyczących sposobu zabezpieczenia danych ani innych wymagań dotyczących np. rozliczalności wykonywanych czynności, gdyż wynikały one bezpośrednio z ustawy o ochronie danych osobowych. Artykuł 31 ust. 3 ustawy o ochronie danych osobowych stanowił bowiem, że podmiot, któremu powierzono przetwarzanie, przed jego rozpoczęciem jest obowiązany podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39 ustawy o ochronie danych osobowych, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a ustawy o ochronie danych osobowych (chodzi o rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych).
Nie było jednak przeszkód, aby w dotychczas zawieranych umowach powierzenia strony zobowiązały się dodatkowo do świadczenia innych usług, np. udzielania pomocy w wyjaśnieniach dotyczących stosowanych zabezpieczeń czy sposobu postępowania w przypadku zaistnienia incydentu bezpieczeństwa.
RODO wprost wskazuje natomiast wiele innych, dodatkowych elementów, które obligatoryjnie muszą się znaleźć w umowach powierzenia (art. 28 ust. 3 RODO). Należą do nich m.in. zobowiązania przetwarzającego do udzielania administratorowi danych pomocy w zakresie dotyczącym:
• wywiązywania się z obowiązków odpowiadania na żądania osoby których dane dotyczą, w zakresie ich praw określonych w rozdziale III RODO,
• wywiązywania się z obowiązków wynikających z art. 32-36 RODO, odnoszących się do zabezpieczenia przetwarzanych danych, w tym informowania administratora o zaistniałym naruszeniu ochrony danych - jeśli wystąpi,
• udzielania administratorowi pomocy w przygotowaniu zgłoszenia naruszenia, które należy przesłać do organu nadzorczego - jeżeli takie naruszenie wystąpi,
• udzielania wsparcia administratorowi w przygotowaniu dla podmiotów danych w zakresie zawiadomienia o charakterze naruszenia, jego konsekwencjach oraz działaniach, jakie powinny wykonać osoby, których dane zostały naruszone, w celu ograniczenia jego potencjalnych skutków - odnosi się to do przypadków, gdy istnieje duże prawdopodobieństwo, że naruszenie może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych,
• wykazania spełnienia obowiązków określonych w art. 28 RODO, w tym m.in., że korzysta on z usług takich podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO i chroniło prawa osób, których dane są przetwarzane,
• niezwłocznego informowania administratora, jeśli wydane mu polecenie narusza, jego zdaniem, przepisy RODO lub inne przepisy krajowe albo unijne.
Zatem jeśli obecnie obowiązujące umowy powierzenia przetwarzania danych nie zawierają elementów, które zgodnie z RODO powinny być w nich uwzględnione, wówczas należy je odpowiednio dostosować.
Nie można też wykluczyć sytuacji, w której administrator danych, po dokonaniu oceny dotychczasowego partnera pod kątem spełniania przez niego wymagań RODO, zdecyduje się na podpisanie umowy dotyczącej prowadzenia rozliczeń kadrowo-płacowych przez inną niż dotychczas firmę. Przy wyborze tzw. procesora, któremu dane mają zostać powierzone, ma bowiem samodzielnie ocenić, czy podmiot ten zapewnia właściwą ochronę powierzanych danych, co powinno być elementem analizy i szacowania ryzyka. Jeżeli przetwarzanie danych ma być dokonywane w imieniu administratora, to musi on korzystać wyłącznie z usług takich przetwarzających, którzy zapewnią wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymagania RODO i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 RODO).
Sprawdzenie, czy dotychczasowe biuro rachunkowe jest w stanie spełnić wymagania określone przez RODO, może wydawać się trudne. Wówczas warto rozważyć zlecenie wykonania audytu weryfikującego wyspecjalizowanemu podmiotowi. Weryfikacji powinny być poddane przede wszystkim metody i procedury stosowane przez podmiot przetwarzający w zakresie dotyczącym analizy ryzyka oraz oceny skutków, jakie zlecone przez administratora czynności przetwarzania danych mogą powodować w zakresie dotyczącym naruszenia praw i wolności osób fizycznych. Potrzeba takiej weryfikacji jest podyktowana głównie tym, że przepisy RODO nie określają katalogu zabezpieczeń, jakie należy zastosować w określonych przypadkach, ale ich wybór uzależniają od potrzeb wynikających z przeprowadzonych analiz oceny ryzyka oraz oceny skutków dla ochrony danych. Taki sposób wydaje się najlepszy dla upewnienia się, czy powierzymy dane naszych pracowników firmie, która będzie w stanie zapewnić zgodność przetwarzania z warunkami i przepisami RODO.
Podstawa prawna:
• art. 31 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych - j.t. Dz.U. z 2016 r., poz. 922; ost.zm. Dz.U. z 2018 r. poz. 730
• art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) - Dz.U.UE.L. z 2016 r. Nr 119, str. 1