Aktualności

Aktualności

Czy zawsze trzeba zawierać umowę powierzenia przetwarzania danych osobowych, a jeśli tak, to kto jest kim?

Pomimo długiego czasu, jaki minął od czasu wejścia w życie RODO nadal jego stosowanie budzi w praktyce wiele wątpliwości. Administratorzy – a jest ich spora rzesza – zastanawiają się nad wieloma aspektami wdrażania ochrony. Wydaje się jednak, że są też takie obszary, które żadnych wątpliwości nie budzą, choć powinny być polem rzeczowej analizy konkretnego przypadku i przedmiotem odpowiedniego (nie mechanicznego) zastosowania przepisów.

Mowa jest z zawieraniu umów powierzenia przetwarzania danych, które są obligatoryjnym elementem relacji administrator – podmiot przetwarzający (nazywany także procesorem), w której jedna strona przetwarza dane „w imieniu” i „na polecenie” drugiej. Umowa ta została opisana w art. 28 RODO i może przybrać formę pisemną lub dokumentową (czy może raczej tekstową – nie każdy dokument w rozumieniu polskiego kodeksu cywilnego spełniłby wymogi unijnego Rozporządzenia) – wykluczone jest więc zawarcie umowy w formie ustnej.

Umowy takie w praktyce często sprowadzają się do powtórzenia przepisów Rozporządzenia, choć ich zawarcie nie zawsze jest uzasadnione. Takie profilaktyczne wiązanie się umowami ani nie gwarantuje jednak bezpieczeństwa danych, ani nie jest spełnieniem prawnych wymogów.

Przede wszystkim nie zawsze tam, gdzie dochodzi do przekazywania danych lub ich ujawniania innemu podmiotowi dochodzi równocześnie do powierzenia. Nie jest bowiem konieczne, aby zawsze któraś ze stron pełniła rolę procesora (przetwarzającego) – nic nie stoi na przeszkodzie, aby dane były przetwarzane równolegle przez dwóch lub więcej administratorów. W rzeczywistości te same dane są często przetwarzane przez wiele podmiotów, a każdy z nich działa we własnym interesie i nie podlega poleceniom innego.

Jeśli jednak do przetwarzania na podstawie powierzenia rzeczywiście dochodzi, istotne jest także, w jakiej roli występują strony – administratora czy procesora, przy czym to przepisy wyznaczają rolę poszczególnych podmiotów w procesie przetwarzania. Strony nie mogą same zadecydować z tym, w czyim imieniu i na czyje zlecenie będą przetwarzane dane osobowe – tutaj decydujące znaczenie ma faktyczna sytuacja, a nie wola zainteresowanych, którzy nie mogą zmienić kierunku tej relacji. Tymczasem w praktyce często umowy zawierane są bez wnikliwej analizy faktycznej relacji i wyznaczony w nich stosunek nie odpowiada przepisom. Dobrym przykładem mogą być tutaj agencje poszukujące dla pracodawców kandydatów do pracy spełniających wyznaczone kryteria – takie agencje bywają raz procesorem, raz administratorem.

Zawieranie umów powierzenia przetwarzania danych „na wszelki wypadek” lub na podstawie niepoprawnie sporządzonego wzoru może mieć niekorzystne konsekwencje, gdyż tak zidentyfikowane procesy przetwarzania uniemożliwiają poprawne wypełnienie dokumentacji RODO, będące realizacją zasady legalności i rozliczalności przetwarzania.

 

« Poprzedni