Łukasz Kulicki
RADCA PRAWNY | PARTNER
Radca prawny, Partner w Kancelarii Linke Kulicki specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.
Opublikowano:
Administrator danych osobowych prowadząc przedsiębiorstwo, organizację non-profit (NGO) lub też działając jako organ publiczny rzadko kiedy jest w stanie zrealizować wszystkie swoje cele bez udziału lub pomocy podmiotów trzecich. Taką sytuację, w której administrator chce zrealizować swój cel z pomocą innego podmiotu nazywamy powierzeniem przetwarzania danych osobowych.
Definicja podmiotu przetwarzającego
Podmiot przetwarzający (zwany także czasem procesorem) to organizacja lub osoba, której administrator powierza przetwarzanie danych osobowych, pod warunkiem że zapewnia ona odpowiednie gwarancje techniczne i organizacyjne, pozwalające na przetwarzanie danych zgodnie z wymogami RODO oraz skuteczną ochronę praw osób, których dane dotyczą.
W praktyce oznacza to podmiot, który przetwarza dane osobowe w imieniu administratora (czyli wypełnia cel narzucony przez administratora), posiada udokumentowane zabezpieczenia techniczne i organizacyjne, daje gwarancję zgodności działań z RODO i zapewnia ochronę praw osób, których dane przetwarza.
Art. 28 ust. 1 RODO
Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
Poniżej znajdziesz przykłady podmiotów przetwarzających (procesorów):
- Firma hostingowa przechowująca dane klientów sklepu internetowego na swoich serwerach w imieniu właściciela sklepu (administratora),
- Zewnętrzna firma księgowa, która przetwarza dane pracowników i kontrahentów w celu prowadzenia księgowości dla swojego klienta (administratora),
- Dostawca systemu CRM, w którym firma (administrator) przechowuje i zarządza danymi swoich klientów,
- Firma kurierska realizująca dostawy i przetwarzająca dane odbiorców w imieniu sklepu internetowego (administratora),
- Agencja marketingowa prowadząca kampanie email marketingowe i zarządzająca bazą subskrybentów w imieniu swojego klienta (administratora),
- Firma świadcząca usługi kadrowo-płacowe, przetwarzająca dane pracowników w imieniu pracodawcy (administratora),
- Operator systemu do wystawiania e-faktur, który przetwarza dane kontrahentów w imieniu firmy korzystającej z systemu (administratora),
- Firma archiwizacyjna przechowująca dokumenty papierowe zawierające dane osobowe w imieniu firmy (administratora),
- Dostawca usługi chmurowej, w której firma (administrator) przechowuje dokumenty zawierające dane osobowe,
- Agencja badawcza przeprowadzająca ankiety wśród klientów i przetwarzająca ich dane w imieniu zlecającej firmy (administratora).
Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?
Jakie warunki powinien spełniać procesor?
Administrator danych osobowych nie może powierzyć danych osobowych, za które odpowiada byle komu. Powinien korzystać jedynie z tych podmiotów, które zapewnią należyte bezpieczeństwo danym osobowym i zapewnić pełen profesjonalizm.
Wymagania merytoryczne, jakie musi spełniać podmiot przetwarzający:
- Posiada specjalistyczną wiedzę w zakresie przetwarzania danych
- Jest wiarygodny i godny zaufania
- Ma odpowiednie zasoby techniczne (sprzęt, systemy, infrastrukturę)
- Ma odpowiednie zasoby kadrowe (wykwalifikowany personel)
- Wdrożył skuteczne środki techniczne chroniące dane
- Wdrożył skuteczne środki organizacyjne (procedury, polityki)
- Zapewnia przetwarzanie zgodne z RODO
- Gwarantuje bezpieczeństwo powierzonych danych
Podmiot przetwarzający może potwierdzić spełnienie tych wymagań poprzez stosowanie zatwierdzonego kodeksu postępowania, posiadanie certyfikatów potwierdzających zgodność z RODO, dokumentację wdrożonych zabezpieczeń i procedur, wykazanie doświadczenia w bezpiecznym przetwarzaniu danych czy też udowodnienie posiadania odpowiednich kompetencji.
Komu nie powinieneś powinieneś powierzać danych do przetwarzania?
Oto trzy przykłady ilustrujące, kiedy administrator NIE powinien powierzać danych:
- Administrator danych (przychodnia medyczna) rozważa powierzenie archiwizacji dokumentacji medycznej małej, lokalnej firmie, która:
- Nie ma doświadczenia w przechowywaniu dokumentacji medycznej
- Przechowuje dokumenty w zwykłym magazynie bez specjalnych zabezpieczeń
- Zatrudnia przypadkowych pracowników tymczasowych bez przeszkolenia
- Nie posiada żadnych procedur bezpieczeństwa ani certyfikatów
- Administrator (sklep internetowy) chce powierzyć obsługę swojej bazy klientów początkującemu freelancerowi, który:
- Przechowuje dane na prywatnym laptopie bez szyfrowania
- Nie ma udokumentowanego doświadczenia w pracy z danymi osobowymi
- Nie posiada wiedzy o RODO i obowiązujących przepisach
- Nie ma wdrożonych żadnych procedur bezpieczeństwa
- Administrator (firma szkoleniowa) planuje powierzyć dane uczestników szkoleń małej firmie marketingowej, która:
- Nie ma dedykowanych systemów do bezpiecznego przetwarzania danych,
- Korzysta z darmowych, niesprawdzonych narzędzi w chmurze,
- Nie posiada polityk bezpieczeństwa ani procedur ochrony danych,
- Nie szkoli swoich pracowników z zakresu ochrony danych osobowych.
Jakie zdanie w tym temacie ma Prezes Urzędu Ochrony Danych Osobowych? W decyzji z 7.09.2022 r. (DKN.5131.29.2022) wskazał, że dopiero po odpowiednio wnikliwym zbadaniu kompetencji i adekwatności wybranego podmiotu przetwarzającego (co stanowi również element oceny ryzyka związanego z przetwarzaniem danych osobowych), administrator może przystąpić do zawarcia stosownej umowy powierzenia. Niepisanych umów (niezależnie od stopnia ich szczegółowości lub skuteczności) nie można uznać za wystarczające do spełnienia wymogów określonych w art. 28 RODO.
Kiedy procesor może przetwarzać dane?
Kolejną ważną kwestią jest to, że procesor nie może sam z siebie przetwarzać danych w imieniu administratora. Musi to robić wyłącznie na jego polecenie. W praktyce polecenie to przybiera najczęściej formę umowy.
Art. 28 ust. 3 lit. a) RODO
Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający (…) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; (…)
Współpraca między administratorem a podmiotem przetwarzającym (procesorem) musi być zawsze sformalizowana poprzez umowę lub inny dokument prawny zgodny z prawem UE lub krajowym. Taka umowa musi dokładnie określać:
- Co będzie przetwarzane (przedmiot),
- Jak długo będą przetwarzane (czas trwania),
- W jaki sposób będą przetwarzane (charakter),
- W jakim celu będą przetwarzane,
- Jakie dane osobowe będą przetwarzane,
- Czyje dane będą przetwarzane (kategorie osób),
- Jakie są prawa i obowiązki administratora.
Kluczową zasadą jest to, że procesor może działać tylko na podstawie udokumentowanych poleceń od administratora. Oznacza to, że nie może przetwarzać danych „po swojemu” i musi mieć konkretne instrukcje od administratora.
Kto jest podmiotem przetwarzającym dane osobowe?
Przesłanki wskazujące, że ktoś jest podmiotem przetwarzającym:
- Przetwarza dane osobowe w imieniu administratora, realizując cel wyznaczony przez administratora.
- Posiada udokumentowane zabezpieczenia techniczne i organizacyjne, gwarantujące bezpieczeństwo danych.
- Zapewnia zgodność swoich działań z RODO i ochronę praw osób, których dane przetwarza.
- Działa na podstawie umowy lub innego instrumentu prawnego, który określa m.in. przedmiot, czas trwania, charakter i cel przetwarzania danych, a także prawa i obowiązki administratora.
- Przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora, nie podejmując samodzielnych decyzji w tym zakresie.
Jak administrator powinien wybrać podmiot przetwarzający?
Administrator powinien wybrać podmiot przetwarzający, który:
- Posiada specjalistyczną wiedzę w zakresie przetwarzania danych i doświadczenie w bezpiecznym przetwarzaniu danych.
- Jest wiarygodny i godny zaufania.
- Dysponuje odpowiednimi zasobami technicznymi (sprzęt, systemy, infrastruktura).
- Zatrudnia wykwalifikowany personel.
- Wdrożył skuteczne środki techniczne i organizacyjne chroniące dane (procedury, polityki).
- Zapewnia przetwarzanie zgodne z RODO i gwarantuje bezpieczeństwo powierzonych danych.
- Potwierdza spełnienie wymagań poprzez stosowanie zatwierdzonego kodeksu postępowania, posiadanie certyfikatów zgodności z RODO, dokumentację wdrożonych zabezpieczeń i procedur.
Administrator nie powinien powierzać danych podmiotom, które:
- Nie mają doświadczenia w przetwarzaniu danych w danej branży.
- Nie posiadają odpowiednich zabezpieczeń technicznych i organizacyjnych.
- Nie stosują procedur bezpieczeństwa i nie posiadają certyfikatów.
- Zatrudniają niewykwalifikowany personel bez odpowiedniego przeszkolenia.
- Przechowują dane w sposób niezabezpieczony.
- Nie posiadają wiedzy o RODO i obowiązujących przepisach.
- Korzystają z niesprawdzonych narzędzi i nie dbają o szkolenia swoich pracowników z zakresu ochrony danych osobowych.
Kancelaria Linke Kulicki to kancelaria prawna, która od lat zajmuje się wspieraniem Klientów w sferze ochrony danych osobowych. Nasze działania koncentrują się na różnych płaszczyznach, co daje nam możliwość zapewniania kompleksowej pomocy dla firm. Rzetelnie sprawdzamy wszystkie kwestie, dzięki czemu jesteśmy w stanie wykazać ewentualne braki w zakresie ochrony danych osobowych i zaproponować skuteczne zmiany gwarantujące bezpieczeństwo. Nasza aktywność koncentruje się także na reprezentowaniu Klientów przed Prezesem Urzędu Ochrony Danych Osobowych oraz w postępowaniach sądowych z zakresu ochrony danych osobowych.