2014-10-03

Podpowierzanie przetwarzania danych osobowych to obszerne zagadnienie. Mimo, że  ustawa o ochronie danych osobowych reguluje wszystkie aspekty formalno-prawne, w praktycznym zastosowaniu przepisów zdarzają się trudności. Dzieje się tak w przypadku, gdy podmiot, któremu powierzono do przetwarzania dane osobowe, decyduje się na outsourcing usług, które powiązane są z przetwarzanymi danymi osobowymi. Taką sytuację powszechnie nazywamy podpowierzeniem przetwarzania danych osobowych.

Kiedy zatem mamy do czynienia z podpowierzeniem przetwarzania danych osobowych? Co do zasady proces wygląda w sposób następujący:

1)      Administrator danych osobowych zawiera umowę powierzenia przetwarzania danych osobowych z procesorem,

2)      Procesor zawiera umowę z outsourcerem na podpowierzenie przetwarzania danych osobowych administratora danych osobowych.

Należy się zastanowić, czy administrator danych osobowych powinien w jakikolwiek sposób ustosunkować się do popdpowierzenia. Czy wystarczy, aby wyraził on zgodę w umowie? A może konieczne jest nadanie przez niego odrębnego upoważnienia? Czy też upoważnienie takie wynika z samego faktu zawarcia umowy powierzenia danych?

Powierzenie przetwarzania danych osobowych następuje na podstawie art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, dalej uodo. Procesor aby przetwarzać dane osobowe musi spełnić kilka warunków wskazanych w uodo. Są to przede wszystkim obowiązki wynikające z art. 36-39 uodo oraz wymagania określone w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. W zakresie przestrzegania tych przepisów podmiot, któremu powierzono dane do przetwarzania (procesor) ponosi odpowiedzialność jak administrator danych.

Z punktu widzenia procesora i odpowiedzialności, jaka na nim spoczywa – istotne jest zabezpieczenie danych osobowych w taki sposób, aby nie istniało ryzyko ich ujawnienia osobom nieupoważnionym, także w przypadku outsourcingu. Jednym z narzędzi zabezpieczających jest obowiązek wskazany w art. 37 uodo, czyli obowiązek posiadania upoważnienia nadanego przez administratora danych. W codziennym obrocie gospodarczym pomiędzy podmiotami pojawiają się wątpliwości, w jaki sposób uregulować to zagadnienie w umowie i czy konieczne jest jego uregulowanie w przypadku outsourcingu.  

Pojawiające się w doktrynie głosy, jakoby upoważnienie do podpowierzenia przetwarzania danych osobowych można wywieść z samej treści umowy zawartej pomiędzy administratorem danych osobowych, a procesorem – wydaje się być błędnym.

Zgodnie z interpretacją GIODO osoba, której powierzono przetwarzanie danych osobowych nie staje się administratorem danych osobowych. Owszem, osoba, której powierzono przetwarzanie danych osobowych zobowiązana jest przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające wystandaryzowany zestaw danych o charakterze osobowym. Jednakże, mając na uwadze interpretację GIODO, iż osoba taka nie staje się administratorem danych osobowych, nie ma ona możliwości nadania upoważnienia swoim pracownikom. Takie upoważnienie może nadać jedynie administrator danych osobowych zgodnie z literalnym brzmieniem tego przepisu: „Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.”

Upoważnienie powinno zostać "nadane" przez administratora danych osobowych i dlatego powinno także pochodzić od administratora danych i stanowić wyraz jego woli. Na przeszkodzie nie stoi jednak, żeby w konkretnych (zwłaszcza w sytuacji masowego nadawania upoważnień do przetwarzania danych osobowych) przypadkach stosować system upoważnień, na podstawie którego administrator danych upoważnia określone osoby do przetwarzania danych oraz do dalszego nadawania upoważnień, na zasadach określonych przez administratora danych. W każdym przypadku, gdy konkretne upoważnienie nie pochodzi bezpośrednio od administratora danych, osoba, która je nadała, powinna dysponować wyraźnym upoważnieniem administratora danych do dalszego nadawania upoważnień, a uprawnienia tego nie można wywodzić ani z faktu posiadania upoważnienia do przetwarzania danych, ani z zatrudnienia na określonym stanowisku czy pełnienia określonej funkcji.

Procesor po powierzeniu danych osobowych nie staje się administratorom. W związku z tym, by podpowierzenie przetwarzania danych osobowych było zgodne z prawem, procesor musi mieć upoważnienie od administratora danych osobowych. Bez znaczenia zostaje forma jego wyrażenia – tj. taką samą skuteczność będzie miała zgoda wyrażona bezpośrednio w umowie, jak również osobno nadane upoważnienie.

 

Komentarz dla Forsal.pl