Jakie zasady korzystania z podprocesorów wprowadza RODO

Dowiedz się, czy zgodnie z RODO podmiot przetwarzający może korzystać z usług innych procesorów, i jaką odpowiedzialność wówczas ponosi. Sprawdź, czy należy zaktualizować obecnie stosowane umowy powierzenia.
RODO, w odróżnieniu od przepisów dyrektywy 96/45/WE, a także ustawy o ochronie danych osobowych, reguluje wprost nie tylko zagadnienie korzystania z usług podmiotu przetwarzającego dane w imieniu administratora, ale także kolejnych, dalszych podmiotów przetwarzających (tzw. podprocesorów). Umożliwiając podpowierzenie przetwarzania, wprowadza warunki dopuszczalności jego stosowania. Procesor może zatem korzystać z usług innego procesora, pod warunkiem że administrator wyrazi na to zgodę. W przypadku podpowierzenia te same obowiązki związane z ochroną danych osobowych, które są nałożone na procesora, będzie musiał spełnić każdy z podprocesorów. Dotyczy to w szczególności, choć nie tylko, obowiązku zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, tak aby przetwarzanie odpowiadało wymogom RODO.
Wybór niewłaściwego podprocesora, tzn. takiego, który ze swoich obowiązków należycie się nie wywiąże, obciąża pierwotny podmiot przetwarzający. Odpowiedzialność podmiotu przetwarzającego wobec osoby, której dane dotyczą, została uregulowana w RODO odmiennie od odpowiedzialności administratora danych. Zasadniczo, zgodnie z art. 82 ust. 2 RODO, podmiot przetwarzający odpowiada wobec podmiotu danych za szkody spowodowane przetwarzaniem wyłącznie w przypadkach, w których:
  1. nie dopełnił nałożonych na niego obowiązków,
  2. działał poza zgodnymi z prawem instrukcjami administratora,
  3. działał wbrew zgodnym z prawem instrukcjom administratora.
Procesor, chcąc zwolnić się z odpowiedzialności, musi wykazać, że do naruszenia być może doszło, ale nie z jego winy.
 
Zakres odpowiedzialności procesora jest związany bezpośrednio z zakresem jego uprawnień i obowiązków. Stąd też dotyczy przede wszystkim naruszenia modelowego sposobu przetwarzania danych osobowych oraz obowiązków nałożonych przez art. 29–33 RODO bezpośrednio na procesora. Zasadniczo nic nie stoi na przeszkodzie, by zakres odpowiedzialności procesora poszerzyć w drodze umowy łączącej procesora z administratorem. W sytuacji, w której w przetwarzaniu uczestniczy więcej podmiotów (administratorów, procesorów, podprocesorów), ich odpowiedzialność względem podmiotu danych ma charakter solidarny. Do pozostałych kwestii mają zasadniczo zastosowanie zasady ogólne prawa cywilnego. W związku z tym prawidłowa konstrukcja umowy powierzenia przetwarzania danych powinna przewidywać stosowne reguły odpowiedzialności kontraktowej obu stron.
Ważnym zagadnieniem z praktycznego punktu widzenia jest konsekwencja zmiany stanu prawnego w zakresie obowiązywania dotychczasowych umów powierzenia – zawartych przed 25 maja 2018 r. Oceniając istniejące umowy powierzenia, należy w pierwszej kolejności zweryfikować, czy ich zapisy są możliwe do utrzymania z punktu widzenia RODO. Jeżeli umowa powierzenia została uprzednio właściwie skonstruowana i ewentualnie była dostosowywana do pojawiających się kolejnych wyzwań w zakresie zarządzania bezpieczeństwem, a jej strony dążyły do zagwarantowania maksymalnego możliwego stopnia ochrony przetwarzanych danych – być może takiej umowy nie trzeba będzie zmieniać w ogóle bądź zmiany będą miały charakter kosmetyczny. Na podstawie art. 28 RODO nie można przyjąć, że zmiana stanu prawnego może oznaczać nieważność zawartych wcześniej umów powierzenia lub stanowi przesłankę uzasadniającą wypowiedzenie takich umów. Taka możliwość będzie istniała dopiero wtedy, jeśli analiza treści umowy powierzenia wykaże, że znaczna część lub całość umowy nie gwarantuje należytego stanu ochrony wymaganego przez przepisy RODO. W przypadku pojedynczych klauzul ewentualna niezgodność umowy z nowymi regulacjami skutkować będzie z reguły uchyleniem obowiązywania jej wadliwych zapisów i utrzymaniem pozostałej części umowy w mocy.
Umowy powierzenia niespełniające wymogów RODO powinny zostać do 25 maja 2018 r. dostosowane w taki sposób, żeby należyty stan zgodności zapewnić, mając jednocześnie na uwadze realną możliwość dostosowania już istniejących umów stanowiących podstawę powierzenia. W przypadku wadliwie skonstruowanych umów sporządzenie nowych, uwzględniających od początku wymogi wynikające z RODO, może być w praktyce znacznie lepszym (i zgodnym z duchem nowej regulacji) rozwiązaniem. Kształtując wzajemne relacje dotyczące powierzenia danych, administrator i procesor mogą sięgać nie tylko po umowę, ale też odwołać się do standardowych klauzul umownych. Mogą być one tworzone m.in. przez krajowe organy nadzoru w ramach procedury spójności. Należy mieć nadzieję, że Prezes Urzędu Ochrony Danych Osobowych przyjmie w odniesieniu do tego zadania proaktywną postawę.


dr Joanna Łuczak-Tarka, adw. dr Tomasz Banyś 

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Skuteczne narzędzia do wykrywania uszkodzonych podzespołów

pobierz

Wykrywanie i usuwanie niechcianych programów

pobierz

Polecane artykuły

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji »
W jaki sposób zawiadomić o wyznaczeniu IOD

W jaki sposób zawiadomić o wyznaczeniu IOD »
Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie?

Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie? »
Array ( [docId] => 50035 )

Array ( [docId] => 50035 )
Array ( [docId] => 50035 )