Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), stanowi, iż dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie w sposób przejrzysty dla osoby, której dane dotyczą.
Na administratorze, czyli na podmiocie, który decyduje o sposobach i celach przetwarzania, spoczywa obowiązek zapewnienia bezpieczeństwa danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych – zasada integralności poufności.
Art. 5 ust.2 lit. f RODO stanowi, że — dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych
Powierzając do przetwarzania dane osobowe po stronie administratora leży obowiązek korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Oznacza to jednocześnie, że podmiot przetwarzający ma obowiązek wprowadzić w swojej strukturze odpowiednie zabezpieczenia, by legalnie przetwarzać dane na zlecenie Administratora Danych Osobowych. Podmiot przetwarzający ma prawo przetwarzać dane osobowe wyłącznie na polecenie administratora, w sposób i w zakresie celów wskazanych przez administratora.
Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora.
Umowa powierzenia przetwarzania danych określa przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Oprócz tego umowa musi wyraźnie wskazywać, że:
– podmiot, któremu powierzono przetwarzanie danych, będzie przetwarzał dane osobowe wyłącznie na podstawie udokumentowanego polecenia administratora danych,
– podmiot przetwarzający zachowa tajemnicę przetwarzanych danych osobowych, zapewni odpowiednie bezpieczeństwo ich przetwarzania, oraz pomoc administratorowi w wypełnianiu jego obowiązków względem osoby, której dane dotyczą lub Urzędu Ochrony Danych Osobowych,
– podmiot przetwarzający usunie lub zwróci dane po zakończeniu ich przetwarzania.
Umowa nie jest jedyną formą powierzenia przetwarzania danych. W RODO użyto sformułowania „Inny instrument prawny”, nie zostało ono jednak zdefiniowane. Zaznaczono jedynie, że powinno ono spełniać takie same standardy, jak umowa.
Jak wskazują eksperci, „inny instrument prawny” dotyczy w szczególności relacji prawnych pomiędzy podmiotami ze sfery prawa publicznego tj. organów i podmiotów publicznych (P. Litwiński (red.)/P. Barta/M.Kawecki Rozporządzenie (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Komentarz, s.476). Pomiędzy organami państwowymi lub organami samorządu terytorialnego występuje bowiem regulacje administracyjnoprawne oparte na instrumentach prawnych takich jak ustawy, rozporządzenia, akty prawa miejscowego, na podstawie których dochodzi do przekazania określonemu organowi danych osobowych będących w posiadaniu innego organu administracji publicznej.
Administrator, decydując się na powierzenie przetwarzania danych osobowych innemu podmiotowi, powinien sprawdzić, czy zapewnia on wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, oraz czy przetwarzanie będzie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
Brak weryfikacji podmiotu przetwarzającego oraz jego gwarancji dla przetwarzania zgodnie z przepisami o ochronie danych osobowych może wiązać się z konsekwencjami dla osób fizycznych, których dane osobowe zostały powierzone podmiotowi przetwarzającemu, np. w postaci utraty danych osobowych.
Zatem decyzja, komu administrator powierza przetwarzanie danych osobowych nie może być podejmowana bezpodstawnie. Dopiero po zbadaniu kompetencji i adekwatności wybranego podmiotu przetwarzającego, administrator może przystąpić do zawarcia stosownej umowy powierzenia.
Na podstawie art. 28 RODO administrator, chcąc przetwarzać dane przy pomocy innego podmiotu, korzysta wyłącznie z usług takich podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych.
Zarówno administrator, jak i podmiot przetwarzający narażają się na sankcje administracyjne w postaci kar w wysokości do 10 000 000 euro lub do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego w przypadku, gdy narusza przepisy dotyczące obowiązku zawarcia, zasad zawarcia i obligatoryjnej treści umowy o powierzenie przetwarzania danych osobowych, a także w przypadku nieprzestrzegania zasad określonych w art. 28 RODO.
Podstawa prawna:
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).