Szczególne przesłanki przetwarzania danych III

Szczególne przesłanki przetwarzania danych III

5) Zlecenie przetwarzania

Administrator może powierzyć przetwarzanie danych innemu podmiotowi, nie tracąc przy tym statutu administratora. Wymaga to zawarcia umowy na piśmie określającej cel i zakres przetwarzania danych. Zgodnie z ustawą, nie wymaga zawarcia umowy między administratorem a zleceniobiorcą, powierzenie przetwarzania danych, w tym przekazywanie danych, jeżeli ma miejsce między podmiotami, o których mowa w art. 3 ust. 1. („Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych.”)

Zleceniodawca zwany procesorem, odpowiada za niezgodne z umową lub ustawą przetwarzanie danych osobowych. Ustawa nie stawia żadnych ograniczeń w dokonaniu tej czynności (jeżeli tylko administrator jest uprawniony do przetwarzania danych, a przepisy szczególne nie zabraniają mu zlecenia) Jest to zatem sytuacja zbliżona do zbierania danych^[1].

Obowiązki procesora są określone w art. 31, który odsyła do przepisów zawartych w art. 36-39 oraz 39a. Procesor jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Z treści art. 31 u.o.d.o. można wnioskować, że intencją ustawodawcy było, aby ten, komu powierzono przetwarzanie danych osobowych (zleceniobiorca), nie był traktowany jako administrator danych^[2]. Zgodnie z art. 31 na procesorze spoczywają liczne obowiązki. Zgodnie z art. 31 podmiot przetwarzający dane przed rozpoczęciem przetwarzania podjąć środki zabezpieczające zbiór danych, tzn.:

1)     Zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych;

2)     Prowadzić dokumentację opisującą sposób przetwarzania danych i środki zastosowane w celu zabezpieczenia danych;

3)     Wyznaczyć ABI, chyba, że sam wykonuje tę funkcję; istotne jest, że administratorem bezpieczeństwa informacji może być jedynie osoba fizyczna, której zadaniem jest nadzór nad przestrzeganiem zasad ochrony danych osobowych;

4)     Zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone i komu są przekazywane;

5)     Prowadzić ewidencję osób upoważnionych do przetwarzania danych[3].  

Zgodnie z art. 31 podmiot przetwarzający dane musi zawrzeć pisemną umowę na przetwarzanie danych osobowych. Stwierdzenie, że omawiana umowa ma być zawarta na piśmie, nasuwa pytanie o skutki braku formy pisemnej. Choć może rozmija się to z intencją ustawodawcy, trzeba przyjąć, że wszelkie umowy o przetwarzanie danych zawarte z pominięciem formy pisemnej (w tym też umowy ustne) będą skuteczne, a konsekwencji będzie się można dopatrzyć co najwyżej w sferze prowadzenia postępowania dowodowego w razie sporu[4]. 

Ciekawym zagadnieniem wydaje się także przetwarzanie danych osobowych przez podwykonawców przetwarzającego dane na zlecenie. Jak wskazuje P. Barta, P. Litwiński ściśle językowa wykładnia komentowanego przepisu prowadzi do wniosku, że powierzenie danych osobowych do przetwarzania odbywa się w relacji administrator danych – podmiot (lub podmioty) przetwarzający dane osobowe na zlecenie. Redakcja przepisu wskazuje przy tym, że podmiot przetwarzający na zlecenie nie ma możliwości zaangażowania jakichkolwiek podmiotów trzecich (podwykonawców) działających na jego zlecenie w procesie przetwarzania danych osobowych na zlecenie administratora danych. Jednakże praktyka pokazuje, że zlecanie podwykonawcom zadań obejmujących przetwarzanie powierzonych danemu podmiotowi danych, nie jest niczym niezwykłym. Wydaje się, że mimo braku odpowiedniej regulacji w komentowanym przepisie, taką praktykę można uznać za zgodną z przepisami OchrDanOsU, jeżeli:

1) w treści samej umowy powierzenia danych osobowych do przetwarzania wskazane zostaną co do tożsamości podmioty, które mogą działać jako podwykonawcy podmiotu przetwarzającego dane osobowe na zlecenie, albo

2) w toku wykonywania umowy powierzenia danych osobowych do przetwarzania, podmiot przetwarzający dane osobowe na zlecenie uzyska pisemną zgodę administratora danych osobowych na skorzystanie z usług wskazanego co do tożsamości podwykonawcy, albo

3) przetwarzanie danych osobowych przez podwykonawcę pozostaje w granicach celu i zakresu przetwarzania danych określonych w umowie powierzenia.

Sam GIODO w swojej decyzji DESiWM/DEC-805/34147/08  z dnia 10 grudnia 2008 r. wskazał, że w obrocie gospodarczym coraz częściej spotyka się praktykę tzw. podpowierzenia przetwarzania danych osobowych, co jest dopuszczalne w świetle art. 31 ustawy o ochronie danych osobowych, regulującego kwestie powierzenia przetwarzania danych. Podpowierzenie przetwarzania danych osobowych jest dopuszczalne pod warunkiem właściwego umocowania takiego działania w pierwotnej umowie powierzenia. Kolejne umowy podpowierzenia powinny zapewniać administratorowi danych realną kontrolę nad procesem przetwarzania danych osobowych, choć nie musi on być stroną tych umów. Ważne jest jedynie, aby umowa powierzenia zobowiązywała podmiot, któremu powierzono przetwarzanie danych osobowych do zastosowania odpowiednich zabezpieczeń u kolejnych podmiotów przetwarzających dane na zlecenie, co oznacza, że odpowiednie zobowiązania powinny być wprowadzone w umowach na podstawie, których podzleca się przetwarzanie danych osobowych[5].