Czy można powierzyć przetwarzanie danych wrażliwych

Autor: Agnieszka Kręcisz-Sarna
Wrażliwe dane osobowe np. dotyczące stanu zdrowia podlegają szczególnemu reżimowi prawnemu w zakresie ich zbierania, przetwarzania i udostępniania. Czy można zatem powierzyć przetwarzanie wrażliwych danych osobowych podmiotom zewnętrznym?
Zasadniczo przetwarzanie danych wrażliwych jest zakazane. Przepisy ustawy o ochronie danych osobowych określają jednakże kilka przypadków, w których można je przetwarzać. Ograniczenia dotyczące przetwarzania danych wrażliwych mogą wynikać także z przepisów szczególnych, które przewidują dalej idącą ich ochronę, niż wynika ona z uodo. Wobec tego legitymowanie się przez administratora danych jedną z przesłanek dopuszczalności przetwarzania danych wrażliwych określonych w uodo nie zawsze oznacza, że jest on uprawniony do powierzenia danych wrażliwych dowolnie wybranemu podmiotowi.
Przepisy uodo zezwalają administratorowi danych na powierzenie przetwarzania danych innemu podmiotowi (art. 31 ustawy). Podstawą powierzenia danych może być tylko umowa zawarta z podmiotem, któremu administrator zamierza powierzyć dane (tzw. procesor). Umowę należy zawrzeć w formie pisemnej. Należy w niej określić przede wszystkim zakres i cel przetwarzania danych osobowych.
Po zawarciu umowy status administratora danych będzie przysługiwał nadal podmiotowi powierzającemu dane. Procesor nie jest uznawany za odrębnego odbiorcę danych, tzn. nie musi legitymować się przesłankami legalności przetwarzania danych, spełniać obowiązków informacyjnych czy rejestrować zbiory danych u GIODO. Jednak może przetwarzać powierzone dane tylko w zakresie i w celu określonym w umowie powierzenia. Wynika to z założenia, że status administratora danych nie zależy od faktycznego przetwarzania danych, a od możliwości decydowania we własnym imieniu o celach i środkach przetwarzania danych.
Przed rozpoczęciem przetwarzania danych podmiot, któremu administrator danych powierzył dane osobowe do przetwarzania, zobowiązany jest do podjęcia środków zabezpieczających zbiór danych (art. 36–39 uodo). Powinien także spełnić wymagania określone w przepisach rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
 
Wskazane zasady powierzenia przetwarzania danych dotyczą zarówno powierzenia danych osobowych zwykłych, jak i wrażliwych. 
Przepisy uodo nie zawierają żadnych zastrzeżeń co do możliwości powierzenia do przetwarzania danych wrażliwych. Nie różnicują także sytuacji administratorów danych w zależności od rodzaju danych osobowych, które powierzają do przetwarzania.
Przed podjęciem decyzji o powierzeniu przetwarzania danych osobowych wrażliwych należy sprawdzić, czy istnieją przepisy, które przewidują dalej idącą ochronę danych, niż wynika to z przepisów uodo. Mogą one mieć zastosowanie do powierzenia przetwarzania danych zamiast przepisów uodo. W szczególności dane osobowe, w tym dane wrażliwe, mogą być objęte tajemnicami ustawowo chronionymi. Oznacza to, że tylko określony krąg podmiotów może mieć dostęp do tego rodzaju danych. Przykładowo można tu wskazać na dane medyczne objęte tajemnicą wynikającą z przepisów dotyczących wykonywania zawodów medycznych (np. art. 13 i 14 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta). Ponadto na regulacje, które wprowadzają inne tajemnice zawodowe np. ustawę Prawo bankowe, ustawę o działalności ubezpieczeniowej czy ustawę Prawo telekomunikacyjne.
Przepisy te zawierają szczególne regulacje dotyczące powierzenia do przetwarzania danych osobowych, w tym danych wrażliwych innym podmiotom. Wskazują, w jakim zakresie, jakim celu i pod jakimi warunkami powierzenie jest możliwe. Jednocześnie nakładają na podmioty, którym powierzono dane do przetwarzania, obowiązek zachowania powierzonych danych osobowych w tajemnicy.
W przypadku gdy administrator danych powierzy podmiotowi zewnętrznemu przetwarzanie danych wrażliwych, musi pamiętać, że nadal będzie ponosił odpowiedzialność za przestrzeganie przepisów z zakresu ochrony danych. Innymi słowy, administrator danych będzie odpowiadał także za działania bądź zaniechania podmiotu, któremu powierzył dane do przetwarzania.
Administrator danych powinien zatem zadbać, aby w umowie powierzenia przetwarzania danych znalazły się klauzule, które pozwolą mu nadzorować prawidłowość operacji prowadzonych na powierzonych danych osobowych. Powinny się w niej znaleźć także klauzule zapewniające spełnianie przez procesora warunków wynikających z przepisów szczególnych, a dotyczących procesu przetwarzana powierzonych danych. Dobrze jest zadbać o to, aby w proces przetwarzania powierzonych danych wrażliwych była zaangażowana określona grupa osób ze strony procesora. W tym celu, zawierając umowę z procesorem, administrator danych może zażądać imiennej listy osób, które będą zaangażowane przy jej realizacji. Tam, gdzie jest to wymagane przez przepisy szczególne (np. ustawę o prawach pacjenta), konieczne jest odebranie od tych osób oświadczeń zawierających zobowiązanie do zachowania tajemnicy powierzonych danych.
Jednym z najistotniejszych elementów umowy powierzenia przetwarzania danych, a w niektórych przypadkach elementem obligatoryjnym, jest zapewnienie sobie możliwości kontroli zgodności przetwarzania danych osobowych przez procesora. Warto szczegółowo określić sposoby i częstotliwość kontroli, a także procedurę usuwania stwierdzonych podczas kontroli uchybień. W końcu w umowie powierzenia przetwarzania danych osobowych powinny znaleźć się postanowienia odnoszące się do zasad ponoszenia przez procesora odpowiedzialności za nieprzestrzeganie postanowień umowy, zwłaszcza za naruszenia przepisów ustawy o ochronie danych osobowych (np. zastrzeżenie kar umownych). Należy także uregulować sytuacje, w których dojdzie do zaprzestania przetwarzania powierzonych danych przez procesora (np. wskutek rozwiązania umowy, likwidacji podmiotu).


Agnieszka Kręcisz-Sarna

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Skuteczne narzędzia do wykrywania uszkodzonych podzespołów

pobierz

Wykrywanie i usuwanie niechcianych programów

pobierz

Polecane artykuły

Array ( [docId] => 49951 )

Array ( [docId] => 49951 )
Array ( [docId] => 49951 )