Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej Rozporządzenie RODO, reguluje m.in. kwestię powierzenia przetwarzania danych osobowych.
Podmiot przetwarzający a Administrator Danych Osobowych
Przepisy Rozporządzenia RODO nie definiują dokładnie co należy rozumieć pod pojęciem „powierzenie przetwarzania danych osobowych”. W art. 4 pkt. 8 Rozporządzenia RODO mamy definicję podmiotu przetwarzającego. Mianowicie, „podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora”.
Inaczej rzecz ujmując, aby podmiot przetwarzający musi działać na zlecenie i w imieniu Administratora danych osobowych. Warto przypomnieć, iż to Administrator danych będzie określał cele i sposoby przetwarzania danych osobowych.
Paweł Fajgielski w swoim Komentarzu do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych zaznaczył, iż :
„W przypadku powierzenia przetwarzania danych administrator nadal decyduje o celu i sposobie przetwarzania danych i ponosi odpowiedzialność za spełnienie wymogów określonych przepisami komentowanego rozporządzenia, natomiast podmiot przetwarzający jest uprawniony wyłącznie do dokonania powierzonych (zleconych) czynności przetwarzania, a także ma obowiązek odpowiednio zabezpieczyć przetwarzanie danych, za co jest odpowiedzialny.”
Codziennym problemem, z którym spotykają się przedsiębiorcy jest określeniem czy w danej sytuacji mamy relacje Administrator danych osobowych – Podmiot przetwarzający czy też występuje relacja dwóch samodzielnych Administratorów danych osobowych.
Błędne określenie stanu faktycznego rodzi poważne konsekwencje dla firmy oraz naraża ją na nałożenie kary za naruszenie RODO.
W jakich sytuacjach dochodzi do powierzenia przetwarzania danych osobowych?
Bawarski organ ochrony danych osobowych przygotował zestawienie czynności, w ramach których dochodzi do powierzenia przetwarzania danych osobowych. Oryginalny tekst (wersja niemiecka znajduje się tutaj).
Powierzenie przetwarzania danych osobowych:
- Informatyczne prace techniczne w zakresie księgowości płacowej lub finansowej przez centra komputerowe,
- Outsourcing przetwarzania danych osobowych w kontekście cloud computingu, bez wymagania dostępu do danych dotyczących treści przez operatora chmury,
- Przetwarzanie adresów reklamowych w sklepie firmowym,
- Przetwarzanie danych klientów przez call center bez możliwości podejmowania tam istotnych decyzji,
- Outsourcing administracji poczty elektronicznej lub innych usług związanych z danymi do stron internetowych (np. obsługa formularzy kontaktowych lub zapytań użytkowników),
- Pozyskiwanie danych, konwersja danych lub skanowanie dokumentów,
- Outsourcing przechowywania kopii zapasowych zabezpieczających i innej archiwizacji,
- Utylizacja nośników danych przez dostawców usług,
- Testowanie lub konserwacja (np. zdalna konserwacja, zewnętrzne wsparcie) zautomatyzowanych procedur lub sprzętu do przetwarzania danych, jeżeli nie można wykluczyć dostępu do danych osobowych w trakcie tych działań,
- Centralizacja niektórych „usług wspólnych” w ramach grupy, takie jak planowanie podróży służbowych lub sprawozdania z kosztów podróży (przynajmniej, jeśli nie ma takiego przypadku) wspólna odpowiedzialność zgodnie z art. 26 RODO
- Aptekarskie centra komputerowe, medyczno-dentystyczne, izby rozrachunkowe bez sprzedaży wierzytelności,
- Usługi bezpieczeństwa, które zbierają dane o odwiedzających i dostawie przy bramie, osoby zewnętrzne, usługodawcy itp., które w imieniu klienta odczytują i/lub zapisują lub przetwarzają wartości mierzone w wynajętym mieszkaniu (ogrzewanie, elektryczność, woda itp.)
- Podmioty świadczące usługi w zakresie zamówień wizowych, które w tym celu otrzymują dane pracowników od pracodawcy.
(Tłumaczenie Anna Ozga)