Rozmowa z dr Joanną Łuczak-Tarką z kancelarii Lubasz i Wspólnicy, adiunktem na Uniwersytecie Łódzkim
Krzysztof Sobczak: Czy to duże zjawisko?
Joanna Łuczak-Tarka: Tak, administratorzy korzystający z usług podmiotów zewnętrznych, którym zlecają wykonywanie określonych operacji na danych osobowych, to powszechne zjawisko. Do powierzenia przetwarzania danych osobowych dochodzi zarówno w przypadku korzystania przez przedsiębiorcę z zewnętrznej obsługi kadrowo-płacowej, usług hostingu, outsourcingu BHP i archiwizacji dokumentów, ustanowienia profesjonalnego pełnomocnika procesowego do reprezentowania firmy w sporze z byłym pracownikiem czy zlecenia przeprowadzenia akcji marketingowej w oparciu o bazę danych subskrybentów newslettera. Przetwarzanie realizowane w imieniu administratora przez zewnętrzne firmy, specjalizujące się w danej branży, jest charakterystyczne dla biznesu – pozwala bowiem na optymalizację kosztów. Po rozwiązanie to sięgają również podmioty publiczne, choć w mniejszej skali, np. korzystając z usług podmiotów zapewniających niszczenie dokumentów, czy usługi kurierskie.
Jednym z istotnych problemów związanych z powszechnym sięganiem po outsourcing nadal pozostaje niewystarczająca świadomość, zwłaszcza wśród mikroprzedsiębiorców, konieczności zawarcia – obok umowy na świadczenie usług – także umowy powierzenia przetwarzania.
Czy dotychczasowe przepisy precyzyjnie regulowały zasady „powierzania"?
Dotychczasowe przepisy wskazywały jedynie formę umowy powierzenia i wyznaczały jej ogólne ramy – nie regulowały precyzyjnie zasad powierzania danych, pozostawiając to w głównej mierze woli stron. Ustawa o ochronie danych osobowych w ogóle nie odnosiła się do tzw. podpowierzenia, czyli przekazywania danych przez podmiot przetwarzający kolejnym podwykonawcom, podczas gdy powstawanie swoistych „łańcuchów podpowierzeń” wcale nie należy do rzadkości. Do zjawiska tego odnosiły się jedynie wybrane regulacje sektorowe na poziomie europejskim, np. dyrektywa o prywatności i łączności elektronicznej, był to jednak wyjątek od reguły.
Największym zagrożeniem, z którym łączyła się dotychczasowa praktyka podpowierzania danych do przetwarzania, było pozbawienie administratora możliwości wyboru podmiotów biorących udział w tym procesie, a tym samym utrata kontroli nad przepływem danych między kolejnymi podprocesorami.
Czy RODO coś zmienia w tym zakresie?
W porównaniu z dotychczasowymi regulacjami RODO rozszerza katalog elementów, które muszą zostać określone przez strony stosunku powierzenia, a także nakłada na procesora szereg obowiązków, wśród których pojawia się m.in. zobowiązanie podmiotu przetwarzającego do wsparcia administratora w realizacji jego obowiązków odnoszących się np. do notyfikacji naruszeń ochrony danych organowi nadzorczemu oraz podmiotom danych. Zmianom tym towarzyszy zastrzeżenie możliwości działania procesora wyłącznie na udokumentowane polecenie administratora.
Nowe przepisy wyraźnie uzależniają możliwość dalszego podpowierzenia przetwarzania od uprzedniej zgody administratora. Może być ona zarówno szczegółowa – poprzez wskazanie konkretnego, indywidualnie określonego podmiotu przetwarzającego, z którego usług może korzystać procesor – jak i ogólna – poprzez określenie warunków, które taki podprocesor musi spełnić. Jeżeli administrator zdecyduje się wyrazić zgodę ogólną, procesor ma obowiązek informowania go o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia jednych podprocesorów innymi. Otwiera to drogę administratorowi do wyrażenia sprzeciwu wobec takich zmian.
Dotychczasowe przepisy nie wprowadzały też żadnych zasad dotyczących postępowania z danymi po zakończeniu świadczenia usług przez procesora – RODO wychodzi naprzeciw oczekiwaniom i potrzebom rynku w tym zakresie. Teraz zwrot danych lub ich usunięcie będzie zależało od decyzji administratora, którego żądanie będzie dla procesora wiążące, chyba że prawo Unii lub państwa członkowskiego będzie mu nakazywało przechowywanie danych.
Ponadto, jako podstawę powierzenia przetwarzania RODO dopuszcza nie tylko umowę, ale także inny instrument prawny.
Co teraz powinni zrobić administratorzy danych, którzy powierzyli komuś ich przetwarzanie? Przedłużać stare umowy, zawierać nowe?
RODO nie zawiera przepisów przejściowych, które regulowałyby w szczególny sposób status umów powierzenia zawartych przed dniem 25 maja 2018 r. Konieczność dostosowania każdej z nich do wymogów wynikających z RODO należy traktować jako obowiązek administratora. Dalsze przedłużenie dotychczasowych umów jest możliwe pod warunkiem zawarcia stosownych aneksów.
Konieczna jest także zmiana stosowanych dotychczas wzorów umów powierzenia.
Mogą być kłopoty, jeśli ktoś tego dobrze nie zorganizuje przed 25 maja?
W związku z naruszeniem art. 28 RODO regulującego powierzenie i podpowierzenie danych, odpowiedzialność może ponieść nie tylko administrator, ale także podmiot przetwarzający. Organ nadzorczy może nałożyć na każdy z nich administracyjną karę pieniężną – w przypadku przedsiębiorców w wysokości do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Może także sięgnąć po uprawnienia naprawcze, zarówno zamiast jak i obok administracyjnej kary pieniężnej i np. nakazać administratorowi i procesorowi dostosowanie operacji przetwarzania do wymogów dotyczących powierzenia, określając sposób i termin jego realizacji (art. 58 ust. 2 lit. d).
Pamiętać także należy, że niezawarcie umowy powierzenia – wbrew obowiązkowi – stawia pod znakiem zapytania legalność przekazania danych między administratorem a procesorem, a tym samym otwiera drogę do nałożenia na podmioty uczestniczące w takim udostępnieniu administracyjnej kary pieniężnej w najwyższej wysokości – tj. do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.