Jestem właścicielem niewielkiego biura księgowo-rachunkowego. Prowadzę obsługę w tym zakresie dużego podmiotu. Od czasu do czasu, np. w sytuacjach szczególnych spiętrzeń obowiązków, chciałbym wspomóc się pracą osoby, która też formalnie prowadzi swoją firmę. Czy jako procesor powinienem powiadomić każdorazowo o tym administratora danych? Czy powinienem posiadać zgodę administratora na tzw. podpowierzenie danych, czyli przekazanie ich do dalszego przetwarzania formalnie innej firmie. Czy w umowie z administratorem powinienem zawrzeć odpowiednie zapisy o podpowierzaniu danych osobowych?
Obowiązujące od 25 maja 2018 r. rozporządzenie Parlamentu Europejskiego i Rady, zwane potocznie RODO, konkretyzuje m.in. obowiązki procesora zamierzającego dokonać dalszego powierzenia danych osobowych (w art. 28). Nowe przepisy wprowadzają możliwość dokonania takiego dalszego powierzenia jedynie za zgodą administratora danych osobowych.
Forma
Przy czym rozporządzenie wyróżnia dwa typy zgody:
- ogólną, zwaną również blankietową – czyli taką, która odnosi się do kategorii podmiotów, z którymi współpracuje procesor;
- szczegółową – czyli taką, w treści której wskazuje się wprost konkretne podmioty, którym dane osobowe będą podpowierzane.
Stosowna zgoda powinna zatem znaleźć się w treści umowy powierzenia oraz – w zależności od woli stron – określać rodzaje podmiotów, którym dane będą podpowierzane, bądź wymieniać je z nazwy.
RODO wymaga, aby zgoda miała formę pisemną, w tym elektroniczną. Nadto we wskazanym akcie prawnym wprost zastrzeżono, że zgoda na korzystanie z usług innego podmiotu przetwarzającego (dalszego procesora) musi zostać udzielona uprzednio. Oznacza to, że powinna ona być wydana przed przekazaniem danych osobowych dalszemu procesorowi.
RODO wymaga, aby zgoda miała formę pisemną, w tym elektroniczną. Nadto we wskazanym akcie prawnym wprost zastrzeżono, że zgoda na korzystanie z usług innego podmiotu przetwarzającego (dalszego procesora) musi zostać udzielona uprzednio. Oznacza to, że powinna ona być wydana przed przekazaniem danych osobowych dalszemu procesorowi.
Kiedy zajdzie zmiana
Co ważne: w przypadku ogólnej pisemnej zgody procesor ma obowiązek informować administratora danych osobowych o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających (dalszych procesorów). Tym samym administrator ma możliwość wyrażenia sprzeciwu wobec takich zmian. Przepisy nie precyzują jednakże terminu, w jakim taki sprzeciw miałby zostać wyrażony, a także jego formy. Warto zatem zadbać o wprowadzenie do umowy powierzenia stosownych zapisów w tym zakresie. [ramka]
Art. 28 RODO (…)
2. Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
(…)
4. Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.
(…)
4. Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.
Reasumując, w treści umowy powierzenia zawieranej przez czytelnika – jako procesora – z administratorem danych osobowych (klientem) konieczne jest wprowadzenie klauzuli zgody na dalsze powierzenie danych osobowych do przetwarzania. Zgoda może przybrać jedną ze ww. form. Nadto w przypadku zdecydowania się na wprowadzenie zgody ogólnej zalecane jest doprecyzowanie sposobu korzystania przez administratora danych osobowych z przysługującego mu prawa sprzeciwu względem zamiaru dokonania przez pana zmiany dalszego procesora.
Przykładowa klauzula w umowie
Klauzula wyrażająca zgodę administratora na przekazanie przez procesora przetwarzanych danych osobowych trzeciemu podmiotowi może mieć następujące brzmienie: „Procesor nie jest uprawniony do przekazywania danych osobowych osobom trzecim, z wyłączeniem jego podwykonawców i współpracowników, a także firm świadczących usługi kurierskie, księgowe i prawne na rzecz Procesora, na co Administrator danych wyraża niniejszym zgodę (zgoda ogólna). Przy czym osoby te mogą przetwarzać dane osobowe wyłącznie na podstawie udzielonego im przez Procesora upoważnienia albo umowy powierzenia danych osobowych, zobowiązujące te osoby do zachowania takich samych obowiązków ochrony danych osobowych, jakie ciążą na Procesorze. Procesor ma obowiązek informować Administratora danych o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia osób wskazanych w zdaniu 1, dając tym samym Administratorowi danych możliwość wyrażenia sprzeciwu wobec takich zmian”.
Podstawa prawna
Art. 28 ust. 2, art. 28 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady [UE] nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, RODO (Dz.Urz. UE z 2016 r. L 119, s. 1).