Z kim zawiera się umowę powierzenia przetwarzania?

Administrator i podmiot przetwarzający – dwa najważniejsze podmioty w całym RODO (zaraz po osobach fizycznych, których dane dotyczą). Od tego, kto jest administratorem, a kto podmiotem przetwarzającym zależy wiele, bo każdy z tych podmiotów ma inne obowiązki i nieco inną odpowiedzialność.

Dla uściślenia: administrator do podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (art. 4 pkt 7 RODO), a zatem jest to ten podmiot, posiada władztwo w zakresie ustalania celów i sposobów przetwarzania. Cel to określony rezultat, a sposoby to metody przetwarzania. Administrator jest zatem głównym decydentem przy przetwarzaniu danych osobowych. Z kolei podmiot przetwarzający (procesor) przetwarza dane osobowe w imieniu administratora (art. 4 pkt 8 RODO), a zatem nie decyduje o celach i sposobach przetwarzania danych, ale realizuje cel, który wyznaczył mu administrator.

Rozróżnienie czy w danym przypadku mamy do czynienia z administratorem czy podmiotem przetwarzającym niejednokrotnie rodzi i będzie rodziło problemy. Jest to istotne nie tylko z punktu przypisania danemu podmiotowi odpowiedniego katalogu obowiązków, ale także z punktu widzenia konieczności (lub braku konieczności) zawarcia umowy powierzenia przetwarzania.

Pamiętajmy bowiem, że prawa i obowiązki na linii administrator – podmiot przetwarzający powinny być uregulowane stosowną umową powierzenia (art. 28 ust. 3 RODO, który mówi o umowie lub innym instrumencie prawnym). Jeżeli zatem uznajemy, że jako administrator współpracujemy z podmiotem przetwarzającym, musimy zawrzeć umowę powierzenia. Jeżeli natomiast drugi podmiot jest np. odrębnym administratorem, wtedy takiego obowiązku nie ma, a wręcz zawieranie takiej umowy byłoby błędem.

Jak jednak rozróżnić, z kim mamy do czynienia?

Kluczem są z pewnością wyżej wskazane definicje zawarte w art. 4 pkt 7 i 8 RODO, jednak są one na tyle ogólne, że nie podejmą decyzji za nas (co nie zmienia faktu, że zawsze są punktem wyjścia).

W praktyce relacja na linii administrator – podmiot przetwarzający pojawia się przy okazji współpracy przy świadczeniu różnego rodzaju usług, w szczególności o charakterze outsourcingu np. zewnętrzne biuro księgowe, zewnętrzna obsługa kadrowa, przedsiębiorstwo oferujące usługi z zakresu niszczenia dokumentów, zewnętrzny pośrednik prowadzący rekrutację, pośrednik bankowy, pośrednik ubezpieczeniowy, podmiot obsługujący administratora pod kątem informatycznym, dostarczyciel usługi w postaci poczty elektronicznej, usług chmurowych, hostingu. Chodzi zatem najczęściej o takie podmioty, którym administrator zleca wykonywanie pewnych czynności, których to czynności nie chce lub nie umie sam wykonywać (np. z powodu czasu, braku wiedzy i doświadczenia, chęci zlecenia jakichś czynności podmiotowi fachowemu lub po prostu z powodu oszczędności finansowych). Administrator zatem zamiast wykonywać pewnie czynności obejmujące przetwarzania danych osobowych własnymi siłami, ceduje realizację jakiegoś wycinka swojego funkcjonowania na inny podmiot. Ocena czy w danej sytuacji występuje relacja powierzenia przetwarzania wymaga każdorazowej analizy kontekstu pod kątem definicji z art. 4 RODO oraz przyjętej (i kształtującej się) praktyki.

Ponadto nie należy mylić podmiotów przetwarzających z podmiotami, które przetwarzają dane osobowe z upoważnienia administratora (art. 29 RODO). Upoważnienie do przetwarzania danych to instytucja dotycząca przede wszystkim personelu administratora, a zatem jego pracowników, zleceniobiorców i wszystkich tych podmiotów, które znajdują się i działają w strukturach administratora. Jeżeli zatem administrator ma podpisaną z kimś umowę o współpracę (samozatrudnienie) i ta osoba wykonuje swoje zadania w strukturach administratora (w jego siedzibie, w oparciu o konkretne procedury i systemu dostarczone przez administratora), to raczej na pewno mamy tutaj do czynienia z upoważnieniem do przetwarzania danych osobowych, a nie z powierzeniem przetwarzania. Jeśli natomiast ta sama osoba charakteryzuje się dużym stopniem niezależności i jest typową obsługą zewnętrzną, wtedy należałoby się skłonić ku zawarciu umowy powierzenia przetwarzania.

Decyzja co do charakteru danego podmiotu nie jest zatem prosta i wielokrotnie będzie wymagać szczegółowej analizy. Każdorazowo należy oceniać dany przypadek indywidualnie i raczej unikać „generalizowania”.

W następnym wpisie bliżej przyjrzymy się temu, z kim NIE zawiera się umowy powierzenia przetwarzania.

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s