Wchodząca w życie 25 maja bieżącego roku regulacja zawarta w rozporządzeniu Parlamentu Europejskiego i Rady 2016/679, czyli tzw. RODO jest kolejnym aktem dotyczącym danych osobowych. Przetwarzać dane osobowe może bezpośrednio administrator danych osobowych, może także do tego umocować w odpowiedni sposób określone podmioty. W ramach postanowień RODO wskazane są dwa instrumenty prawne, które mogą stanowić umocowanie do przetwarzania danych osobowych przez podmioty inne niż administrator danych osobowych. Są to umowa o powierzenie danych osobowych bądź inny instrument przewidziany prawem (art. 28 RODO) oraz upoważnienie do przetwarzania danych osobowych (art. 29 RODO). Podkreślić należy, że na gruncie obecnie obowiązującej ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 roku te instytucje są już znane.
Zgodnie z art. 28 RODO administrator danych osobowych może powierzyć ich przetwarzanie innemu podmiotowi, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą̨. Może dojść także do podpowierzenia, które ma odpowiadać wymogom powierzenia przetwarzania danych osobowych. Umowa lub inny akt prawny mają mieć zachowaną formę pisemną, w tym formę elektroniczną, o czym stanowi art. 28 ust. 9 RODO. Wskazana w RODO forma elektroniczna może zostać uznana za pojęcie tożsame z pojęciem formy elektronicznej na gruncie art. 781 § 1 i 2 KC. Umowa lub inny akt prawny mają podlegać prawu Unii lub prawu państwa członkowskiego i wiążą administratora i podmiot powierzający, pomiędzy którymi doszło do powierzenia przetwarzania danych osobowych.
Jak wskazuje RODO, umowa lub inny akt prawny zawarty na gruncie art. 28 RODO określa:
- Przedmiot przetwarzania;
- Czas przetwarzania;
- Charakter przetwarzania;
- Cel przetwarzania;
- Rodzaj danych osobowych;
- Kategorie osób, których dane dotyczą;
- Obowiązki i prawa administratora.
W odniesieniu do umowy powierzenia aktualność́ zachowuje wyrażone w literaturze na gruncie ustawy o ochronie danych osobowych stanowisko, że najczęściej umowa taka będzie miała postać́ umowy o świadczenie usług, do której odpowiednie zastosowanie znajdą przepisy KC o zleceniu. Jak wskazuje motyw 81 RODO, administrator i podmiot przetwarzający mogą̨ skorzystać́ z umowy indywidualnej lub ze standardowych klauzul umownych, które zostały przyjęte bezpośrednio przez Komisję albo które zostały przyjęte przez organ nadzorczy zgodnie z mechanizmem spójności, a następnie przyjęte przez Komisję. Art. 28 wskazuje na podstawowe obowiązki podmiotu przetwarzającego dane osobowe, konieczność niesienia pomocy administratorowi danych osobowych.
Zgodnie z art. 28 ust. 3 lit. a RODO procesor, czyli podmiot, któremu powierza się przetwarzanie danych osobowych, może przetwarzać́ dane osobowe wyłącznie na udokumentowane polecenie administratora. Polecenie to może być́ elementem umowy powierzenia lub też stanowić́ odrębny dokument. Warunkiem koniecznym jest jednak to, by forma przekazania polecenia (w tym ustalona w wiążącej administratora i procesora umowie lub innym instrumencie prawnym) umożliwiała jego udokumentowanie (zarówno przez administratora, jak i podmiot przetwarzający). Udokumentowanie polecenia ma istotne znaczenie dla wypełnienia wymogów rozliczalności.
Odrębnym od ww. umowy instrumentem, jest upoważnienie do przetwarzania danych osobowych, które uregulowane zostało w art. 29 RODO. Jest to bardzo zwięzła, jednozdaniowa regulacja. Z art. 29 RODO wynika zasada udzielania upoważnienia przez podmiot przetwarzający lub administratora każdej osobie fizycznej mającej dostęp do zbieranych danych osobowych. Upoważnienie do przetwarzania danych osobowych różni się od tego, które wynika z jeszcze obowiązującej polskiej ustawy o ochronie danych osobowych. RODO nie reguluje kwestii upoważnienia w sposób tak dalece sformalizowany, jak ma to miejsce na gruncie polskiej ustawy. Zgodnie z brzmieniem art. 29 RODO do udzielenia upoważnienia do przetwarzania danych osobowych może dojść przez administratora danych osobowych jak podmiot przetwarzający. Zatem katalog podmiotowy uprawnionych do upoważnienia jest szerszy niż w art. 28 RODO.
Przepis ten nie wskazuje formy jaką zachować ma upoważnienie. Oczywiście ze względów ostrożnościowych i dowodowych, warto zachować formę pisemną, w tym elektroniczną, w ramach udzielenia upoważnienia danej jednostce. Będzie to stanowiło zabezpieczenia dla upoważniającego, który ma nałożony na siebie obowiązek rozliczalności.
Z upoważnieniem na gruncie art. 29 RODO wiąże się w sposób bezpośredni polecenie administratora. Jednakże art. 29 RODO nie wskazuje żadnych wymogów formalnych w zakresie wydawanego polecenia. Zgodnie z doktryną może ono być elementem umowy o pracę, umów cywilnoprawnych jak umowa zlecenia czy umowa o dzieło, umowy o świadczenie usług administratora z podmiotem przetwarzającym.
Wyjątkiem jest oczywiście, wskazane w końcowej części art. 29 RODO wymóg przetwarzania danych osobowych wynikający z prawa Unii lub prawa państwa członkowskiego.
Mimo braku wymogów formalnych, uznać należy, iż polecenie administratora winno zostać udokumentowane w sposób umożliwiający wykazanie w każdym momencie zaistnienia udzielenia takiego polecenia przez administratora danych osobowych.
Pozostałe posty o ochronie danych osobowych znajdziesz TU.
Pozostałe posty o ochronie danych osobowych znajdziesz TU.
Anna Dudkiewicz
prawnik
Kontakt: blog@zdanowiczlegal.pl
Brak komentarzy:
Prześlij komentarz
Prosimy o pozostawienie komentarza w temacie posta. Jesteśmy wdzięczni za Państwa opinie.
W tym miejscu nie udzielamy indywidualnych porad prawnych. Jeśli jesteście Państwo zainteresowani pomocą prawną, prosimy o mailowy (blog@zdanowiczlegal.pl) lub telefoniczny (+22 525 84 44) kontakt z Kancelarią. Koszt pomocy prawnej uzależniony jest od stopnia skomplikowania, charakteru sprawy i nakładu pracy prawnika. Udzielamy także e-porady.
Posty są aktualne w dniu ich publikacji. Nie odpowiadamy za późniejsze zmiany prawa.