Fajgielski Paweł, Powierzenie przetwarzania danych osobowych

Powierzenie przetwarzania danych osobowych

Zgodnie z art. 175 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000), art. 1, art. 2, art. 3 ust. 1, art. 4-7, art. 14-22, art. 23-28, art. 31 oraz rozdziały 4, 5 i 7 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723) zachowują moc w odniesieniu do przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu w zakresie określonym w przepisach stanowiących podstawę działania służb i organów uprawnionych do realizacji zadań w tym zakresie, w terminie do dnia wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 04.05.2016, str. 89).

Zgodnie z art. 166 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000), z dniem wejścia w życie przedmiotowej ustawy Generalny Inspektor Ochrony Danych Osobowych staje się Prezesem Urzędu Ochrony Danych Osobowych. Osoba, która została powołana na stanowisko Generalnego Inspektora Ochrony Danych Osobowych, na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723), pozostaje na stanowisku do czasu upływu kadencji, na którą została powołana.

Dane osobowe przetwarzane są zazwyczaj przez osoby, które administrator danych upoważnił do przetwarzania (głównie przez pracowników), w ramach struktury organizacyjnej administratora. Jednakże coraz częściej w praktyce administrator danych dochodzi do wniosku, iż zamiast „własnymi siłami” przetwarzać dane, korzystniej (taniej, szybciej, efektywniej) będzie zlecić przetwarzanie podmiotowi zewnętrznemu, który profesjonalnie zajmuje się tego rodzaju procesami przetwarzania danych (np. gromadzeniem danych, niszczeniem dokumentacji, utrzymaniem i serwisowaniem sprzętu itp.). Ustawa o ochronie danych osobowych dopuszcza taką możliwość, przewiduje jednak wymogi, jakie powinny być spełnione w przypadku powierzenia przetwarzania danych. Ustawodawca w art. 31 u.o.d.o. określił także obowiązki przyjmującego zlecenie oraz konsekwencje prawne w zakresie odpowiedzialności w przypadku powierzenia przetwarzania danych. Dalsze powierzenie przetwarzania danych (tzn. powierzenie przetwarzania przez podmiot, któremu administrator powierzył przetwarzanie) nie jest przedmiotem regulacji ustawowej, jednakże w praktyce przyjmuje się, że jest ono dopuszczalne wyłącznie w przypadku, gdy kwestie te uregulowane zostały wyraźnie w umowie powierzenia, co pośrednio wywodzić można z nałożonego na administratora danych obowiązku zachowania szczególnej staranności przy przetwarzaniu danych (por. art. 26 u.o.d.o.). Ustawa wyraźnie wskazuje na dopuszczalność sprawowania kontroli przez GIODO wobec podmiotów przetwarzających powierzone dane, nakazując w tym zakresie odpowiednie stosowanie przepisów dotyczących kontroli administratora danych.

Administrator danych, decydując się na powierzenie przetwarzania powinien pamiętać, że przetwarzający ma jedynie wykonywać powierzone mu czynności, natomiast to administrator danych nadal będzie decydował o celach i środkach przetwarzania, w dalszym ciągu również ciążyć będą na nim obowiązki związane z przestrzeganiem zasad przetwarzania danych (art. 26 u.o.d.o.), realizacją obowiązków informacyjnych i korekcyjnych (art. 32 u.o.d.o.), a także zgłoszeniem zbioru do rejestracji (art. 40 i n. u.o.d.o.).

Nowelizacja u.o.d.o. dokonana ustawą z dnia 11 lutego 2016 r. o pomocy państwa w wychowywaniu dzieci (Dz.U.2016.195) wprowadziła zmianę w przepisie dotyczącym powierzenia przetwarzania danych osobowych. Zgodnie z dodanym wskutek nowelizacji art. 31 ust 2a u.o.d.o., nie wymaga zawarcia umowy między administratorem a podmiotem zlecającym przetwarzanie danych, powierzenie przetwarzania danych, w tym przekazywanie danych, jeżeli ma miejsce między podmiotami publicznymi. Zmiana ta budzi poważne zastrzeżenia i zasługuje na krytyczną ocenę z uwagi na to, że zniesienie obowiązku zawarcia umowy powierzenia prowadzi do poważnych trudności gdy chodzi o ustalenie zakresu i celu przetwarzania danych przez podmiot, któremu zostało to powierzone, a co za tym idzie - ustalenia odpowiedzialności za naruszenie przepisów o ochronie danych osobowych.

Powierzenie przetwarzania danych osobowych jest szczególnie uzasadnione w sytuacji, gdy administrator danych nie jest technicznie lub organizacyjnie przygotowany do realizacji niektórych procesów przetwarzania danych bądź wykonywanie czynności związanych z przetwarzaniem danych byłoby dla administratora danych zbyt kosztowne, długotrwałe lub uciążliwe. W tego rodzaju przypadkach administrator powinien rozważyć możliwość powierzenia przetwarzania danych innemu podmiotowi.

Przedmiotem powierzenia mogą być różnego rodzaju czynności przetwarzania danych, np. zgromadzenie danych, wprowadzenie danych do systemu teleinformatycznego, usunięcie danych itp.

Dla oceny dopuszczalności powierzenia przetwarzania danych istotne jest sprawdzenie, czy przepisy innych ustaw nakładają na administratora danych obowiązek zachowania danych osobowych w tajemnicy (np. przewidują tajemnicę zawodową).