Czy można powierzyć przetwarzanie danych osobowych bez umowy

Ogólne rozporządzenie o ochronie danych (RODO) reguluje powierzenie przetwarzania danych osobowych w art. 28. Zgodnie z nim, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Jednocześnie podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. Powierzenie przetwarzania danych osobowych, zgodnie z zasadami RODO, musi przyjąć formę umowy lub innego instrumentu prawnego (który podlega prawu Unii Europejskiej lub prawu państwa członkowskiego i wiąże podmiot przetwarzający z administratorem). Taka umowa lub inny instrument prawny musi określać:

Ponadto umowa lub inny instrument prawny muszą regulować w szczególności, że procesor:

Pojęcie „inny instrument prawny” nie jest wprost uregulowane przez RODO. W konsekwencji rozumienie tego wyrażenia należy interpretować zgodnie z dostępnymi zasadami wykładni oraz praktyki z dziedziny ochrony danych osobowych. Jak twierdzą niektórzy przedstawiciele doktryny, „inny instrument prawny” dotyczy w szczególności relacji prawnych pomiędzy podmiotami ze sfery prawa publicznego, tj. organów i podmiotów publicznych. Przykładem powierzenia danych osobowych na podstawie innego instrumentu prawnego może być ich przekazanie na podstawie ustawy, rozporządzenia, aktu prawa miejscowego lub wewnętrznych regulacji prawnych grup kapitałowych.

Na gruncie obowiązującej ustawy o ochronie danych osobowych wielokrotnie można było spotkać się z praktycznym problemem współadministrowania danymi osobowymi. Ustawa o ochronie danych osobowych nie znała definicji współadministrowania danymi osobowymi, niemniej jednak na gruncie nauki prawnej twierdzono, że „o ile dany podmiot wspólnie (…) z innym podmiotem decyduje o celach i sposobach przetwarzania danych osobowych, to można wówczas mówić o współadministrowaniu danymi osobowymi przez te podmioty”. Tego typu przypadki najczęściej dotyczyły np. wspólnego rozliczania przez organy administracji publicznej środków unijnych. Przykład ten koresponduje z koncepcją odnoszenia „innego instrumentu prawnego” do relacji prawnych pomiędzy organami a podmiotami publicznymi. To pomiędzy organami państwowymi lub organami samorządu terytorialnego można szukać relacji prawnoadministracyjnych opartych na instrumentach prawnych takich jak ustawy, rozporządzenia, akty prawa miejscowego itp., których istotą jest przekazanie określonemu organowi danych osobowych będących w posiadaniu innego organu administracji publicznej.

Możliwość powierzenia przetwarzania danych osobowych na podstawie innego instrumentu prawnego dotyczy w szczególności, a nie wyłącznie sfery prawa publicznego. „Inny instrument prawny” może dotyczyć sfery prawa prywatnego. Przykładem ilustrującym tego typu przypadek jest to, że dotychczas spółki wchodzące w skład grupy kapitałowej były traktowane jak osobni administratorzy danych. Dlatego też w relacjach pomiędzy nimi (pomimo formalnoprawnego statusu grupy kapitałowej) musiały zawierać umowy powierzenia. RODO wychodzi naprzeciw tego typu przypadkom, wskazując na inny instrument prawny, gdy chodzi np. o wewnętrzne regulacje prawne grup kapitałowych. Często sformalizowane relacje prawne pomiędzy nimi zakładają konieczność przekazania sobie wzajemnie danych osobowych. Tak może być w przypadkach składania określonych raportów do centrali lub pomiędzy podmiotami tworzącymi tę grupę. W tym przypadku będzie mogło dojść do powierzenia przetwarzania danych osobowych na podstawie tych wewnętrznych regulacji prawnych. Jeśli spełnią one przesłanki art. 28 RODO, będą mogły mieć status „innego instrumentu prawnego”.