Instytucja powierzenia przetwarzania danych osobowych
opublikowano: 2015-10-20 przez:
Specjalizacja wykonywania usług jest obecnie jednym z kluczowych aspektów przewagi konkurencyjnej. Podmioty coraz częściej podejmują działalność ściśle ukierunkowaną, podnosząc poziom zaawansowania oraz jakości świadczonych usług. Niejednokrotnie przetwarzanie danych osobowych jest jedynie elementem dodatkowym prowadzenia działań gospodarczych, a nie celem samym w sobie. Naturalnym jest fakt, że podmioty takie, których głównym celem działania nie jest przetwarzanie oraz zabezpieczenie danych osobowych, będą poszukiwały partnerów, specjalizujących się w danej, poszukiwanej dziedzinie, w celu skorzystania z oferowanych przez nie usług (tzw. outsourcing). W przypadku gdy działania te będą dotyczyły, choćby w pośredni sposób, przetwarzania danych osobowych zebranych przez administratora danych, dochodzić będzie do tzw. powierzenia przetwarzania danych osobowych.
Wstęp
Instytucja powierzenia przetwarzania danych osobowych określona została w art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej „u.o.d.o.”)[1]. Zgodnie z dyspozycją tego przepisu powierzenie przetwarzania danych osobowych przez administratora danych jest dopuszczalne na podstawie pisemnej umowy z podmiotem przetwarzającym – wykonawcą, zwanym również procesorem[2].
Powierzenie przetwarzania danych innemu podmiotowi nie prowadzi do sytuacji, w której procesor staje się nowym administratorem tych danych. Podmiot, któremu powierzono przetwarzanie danych, uprawniony jest do wykonywania zleconych mu czynności dotyczących powierzonych danych wyłącznie „na zlecenie i w imieniu administratora danych”. Na procesorze zatem nie ciążą obowiązki, które, zgodnie z u.o.d.o., dotyczą wyłącznie administratora danych: spełnienia przesłanek legalności przetwarzania danych z art. 23 i 27 u.o.d.o., spełnienia obowiązków informacyjnych (art. 24 i 25 u.o.d.o.), obowiązków staranności określonych w art. 26 u.o.d.o. czy też obowiązków notyfikacyjnych (rejestracyjnych) GIODO określonych w art. 40 u.o.d.o. Po realizacji zlecenia procesor zobowiązany jest usunąć lub zwrócić powierzone mu dane.
Outsourcing usług jest obecnie bardzo powszechną metodą wykonywania wielu czynności, w tym również przetwarzania danych osobowych. Instytucja powierzenia przetwarzania danych osobowych jest często i chętnie wykorzystywana przez administratorów danych. Podejmując decyzję o powierzeniu przetwarzania danych innemu podmiotowi, należy wziąć pod uwagę szereg elementów, na które zwracamy szczególną uwagę w niniejszym artykule.
Granice powierzenia przetwarzania danych osobowych
Zgodnie z art. 31 ust.1 u.o.d.o. każdy administrator danych może zlecić wykonywanie pewnych lub nawet wszystkich operacji przetwarzania danych osobowych, o ile zachowany będzie tryb zlecenia określony tym przepisem. Przepis określa dwa podstawowe elementy, jakie muszą zostać spełnione: 1) powierzenie następuje na podstawie pisemnej umowy; 2) umowa winna określać cel i zakres powierzenia przetwarzania. U.o.d.o. nie określa żadnych dodatkowych ograniczeń w zakresie powierzenia przetwarzania danych osobowych innemu podmiotowi. Zlecenie może zatem obejmować wszelkie czynności przetwarzania danych, w tym gromadzenie, modyfikowanie, kopiowanie, usuwanie[3], jak też udostępnienie danych. Warto zaznaczyć, że w myśl art. 7 pkt 4 u.o.d.o. administratorem danych jest podmiot, który decyduje o celach i środkach przetwarzania danych. Przepis nie nakłada na administratora danych obowiązku wykonywania czynności przetwarzania danych, a zatem dopuszczalna jest sytuacja, w której administrator danych nie będzie posiadał fizycznego kontaktu z gromadzonymi danymi, a wszystkie procesy przetwarzania danych będą powierzone innemu podmiotowi[4].
W pewnych sytuacjach zasada umożliwiająca powierzenie przetwarzania danych bez dodatkowych wymagań ulega jednak ograniczeniom. Ograniczenie takie może występować w formie bezpośredniego zakazu powierzenia przetwarzania danych osobowych (np. art. 8 ust. 2 ustawy o usługach detektywistycznych[5]) lub wynikać z przepisów szczególnych, wyznaczających zakres specjalnej ochrony określonym kategoriom informacji (np. tajemnice zawodowe). W przypadku gdy przepisy szczególne narzucają dodatkowe obowiązki w zakresie pewnych kategorii informacji, powierzenie przetwarzania danych objętych tajemnicą osobom, których obowiązek zachowania tajemnicy nie dotyczy, będzie niedozwolone (np. tajemnica lekarska, radcy prawnego, adwokata itd.). W tym kontekście przykładowo powierzenie przetwarzania danych dotyczących pacjenta przez osoby zawodowo trudniące się ochroną zdrowia, zobowiązane ustawowo do zachowania tajemnicy lekarskiej, podmiotom i osobom, których ten obowiązek nie obejmuje (np. służbom wsparcia technicznego, dostawcom systemów informatycznych itp.) bez zgody pacjenta nie będzie dopuszczalne[6].
Administrator danych może również powierzyć procesorowi wykonywanie czynności faktycznych, prowadzących do spełnienia niektórych ciążących na administratorze danych obowiązków wynikających z u.o.d.o., o ile czynności te będą zgodne z treścią umowy powierzenia. Procesor może zatem w imieniu administratora danych i na jego zlecenie spełniać obowiązki informacyjne wobec osób, których dane dotyczą, gromadzić zgody na przetwarzanie danych czy też zgłaszać zbiory do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (w tym przypadku jednak konieczne jest dodatkowe pełnomocnictwo)[7].
Obowiązki procesora
Podstawowym obowiązkiem procesora jest właściwe zabezpieczenie danych osobowych w trakcie realizacji przez niego czynności zleconych przez administratora danych. Zgodnie z art. 31 ust. 3 u.o.d.o. zobowiązany on jest do podjęcia środków zabezpieczających jeszcze przed rozpoczęciem przetwarzania danych. U.o.d.o. ustanawia minimalny poziom środków bezpieczeństwa, jaki musi być zastosowany zarówno do przetwarzania danych przez administratora danych, jak również podmiotu, któremu administrator powierzył ich przetwarzanie (w art. 36-39a u.o.d.o.). Co więcej, w zakresie przestrzegania tych przepisów podmiot przetwarzający odpowiedzialny jest jak administrator danych.
Administrator danych może również powierzyć procesorowi wykonywanie dodatkowych obowiązków. W zależności od charakteru czynności będących przedmiotem umowy mogą być to zarówno dodatkowe czynności na danych, jak również szczegółowe warunki zabezpieczenia ich przetwarzania czy też inne czynności związane z realizacją umowy.
Umowa powierzenia przetwarzania danych osobowych
Zgodnie z art. 31 ust. 1 u.o.d.o. powierzenie przetwarzania danych powinno zostać dokonane w formie pisemnej umowy pomiędzy administratorem danych a podmiotem, któremu powierza on przetwarzanie. Umowa taka przybiera zazwyczaj postać stosownej klauzuli w ramach szerszej umowy o świadczenie usług. Zgodnie z poglądem doktryny umowę powierzenia przetwarzania danych osobowych należy uznać na gruncie prawa cywilnego za umowę o świadczenie usług[8], do której, zgodnie z art. 750 k.c., należy stosować odpowiednio przepisy o zleceniu. Należy podkreślić, że zgodnie z art. 735 § 1 k.c. umowa zlecenie jest zasadniczo umową odpłatną[9].
Art. 31 ust. 1 u.o.d.o. przewiduje formę pisemną umowy powierzenia przetwarzania danych osobowych. Za niedochowanie formy pisemnej u.o.d.o. jednak nie precyzuje sankcji na gruncie prawa cywilnego. Można zatem, zgodnie z ogólnymi zasadami k.c., przyjąć, że niedochowanie formy pisemnej przy powierzeniu przetwarzania danych osobowych nie powoduje nieważności takiej czynności. Niedochowanie formy pisemnej będzie jednak, jako takie, działaniem niezgodnym z u.o.d.o. i będzie rodzić sankcje administracyjne. GIODO, zgodnie z uprawnieniami określonymi w art. 18 ust. 1 u.o.d.o., w drodze decyzji administracyjnej może nakazać administratorowi danych przywrócenie stanu zgodnego z prawem[10]. Należy również wspomnieć, że, na podstawie art. 20 § 2 ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji[11], GIODO uprawniony jest, jako organ egzekucyjny w zakresie egzekucji administracyjnej obowiązków o charakterze niepieniężnym, do nałożenia i egzekucji w trybie przepisów Działu III tej ustawy grzywny w celu przymuszenia do wykonania decyzji administracyjnej.
Elementem koniecznym umowy powierzenia przetwarzania danych osobowych jest określenie przez administratora danych celu i dozwolonego zakresu przetwarzania danych przez procesora. Procesor może przetwarzać powierzone mu dane osobowe wyłącznie w celu i zakresie określonym w umowie powierzenia. W literaturze wskazuje się, że przekroczenie przez procesora ram wyznaczonych w umowie powierzenia może powodować, poza odpowiedzialnością cywilną wobec administratora danych, odpowiedzialność administracyjną oraz karną zgodnie z Rozdziałem 5 u.o.d.o., gdyż w zakresie nieobjętym powierzeniem będzie on traktowany jako odrębny administrator danych, na którym ciążyć będą wszystkie obowiązki wynikające z ustawy[12].
Określony przez administratora cel przetwarzania danych przez procesora z reguły będzie polegał na realizacji przedmiotu umowy o świadczenie usług, a zatem wykorzystanie danych w sposób ściśle określony przez administratora danych. Jakiekolwiek wykorzystanie danych w celu niezgodnym z celem określonym w umowie będzie traktowane jako naruszenie umowy powierzenia. Procesor zatem nie może wykorzystywać powierzonych danych w innych celach, w szczególności nie może wykorzystywać powierzonych mu danych do realizacji celów własnych.
Określenie zakresu przetwarzania danych przez procesora powinno polegać w szczególności na określeniu: 1) zakresu danych, które będą gromadzone oraz 2) zakresu operacji, które zostały przekazane do wykonania w imieniu administratora danych. Określenie tego elementu umowy powierzenia przetwarzania danych może w pewnych sytuacjach nastręczać istotnych problemów. Zbyt ścisłe określenie operacji przetwarzania może istotnie skomplikować proces ich przetwarzania. Zakres informacji, do których przetwarzania procesor jest upoważniony, może również powodować konieczność częstej modyfikacji umowy. W pewnych okolicznościach określenie zakresu informacji może również nie być możliwe (np. niszczenie dokumentów zawierających dane osobowe). Każdy z przypadków należy rozpatrywać indywidualnie, biorąc pod uwagę zasadę dążenia do minimalizacji ryzyka związanego z powierzeniem przetwarzania danych podmiotowi, nad którym administrator danych posiada wyłącznie ograniczoną kontrolę. Niemniej jednak precyzyjne określenie zakresu przetwarzania danych przez procesora jest niezbędne w celu wyznaczenia granicy odpowiedzialności procesora oraz pozwala na dobranie właściwych środków nadzoru nad procesami przetwarzania danych przez administratora danych.[13]
Elementy dodatkowe umowy powierzenia przetwarzania – nadzór administratora danych
Administrator danych, kierując się należytą starannością w celu ochrony interesów osób, których dane dotyczą[14], powinien oceniać oraz minimalizować ryzyka związane z przetwarzaniem danych osobowych już na etapie wyboru dostawcy usług przetwarzania danych. W myśl art. 31 ust. 3 u.o.d.o. zapewnienie bezpieczeństwa przez dostawcę usług (spełnienie co najmniej wymagań określonych w art. 36-39 u.o.d.o.), powinno być kluczowym kryterium jego wyboru. W przypadku gdy w wyniku weryfikacji potencjalnego wykonawcy niemożliwe będzie ustalenie bezpiecznego poziomu realizacji działań na powierzonych danych, administrator danych nie powinien podejmować współpracy z tym wykonawcą.
Decydując się na współpracę z wykonawcą, zapewniającym odpowiedni poziom bezpieczeństwa potwierdzony wstępnym badaniem, administrator danych powinien zapewnić sobie w umowie powierzenia gwarancję utrzymania tego poziomu bezpieczeństwa również przez cały okres obowiązywania umowy.
W praktyce umowa powierzenia przetwarzania danych osobowych, obok funkcji legalizacyjnej, pełni również funkcję zabezpieczającą administratora danych przed ewentualnymi naruszeniami ze strony procesora. Zaleca się, aby administrator danych w szczególności wzbogacił umowę o postanowienia określające: 1) szczególne środki ochrony danych, których wykorzystanie jest obowiązkowe; 2) zasady dalszego powierzenia przetwarzania danych (tzw. podpowierzenia); 3) obowiązek poddania się procesora kontroli przeprowadzonej przez administratora danych lub osoby przez niego wskazane; 4) obowiązek powiadamiania administratora danych o wszelkich sytuacjach związanych z przetwarzaniem danych, w tym o żądaniach osób, których dane dotyczą, o naruszeniach bezpieczeństwa danych; 5) obowiązek ścisłej współpracy z administratorem danych w celu ochrony interesów osób, których dane dotyczą; 6) sankcje umowne za naruszenie warunków umowy oraz środków bezpieczeństwa przetwarzania danych.
Zastosowanie szczególnych środków bezpieczeństwa będzie każdorazowo uzależnione od indywidualnej sytuacji, administrator danych powinien mieć jednak istotny wpływ na środki zastosowane przez procesora. Szczególną sytuacją może być powierzenie przetwarzania danych osobowych przez administratora danych w celu podwyższenia bezpieczeństwa tych danych (np. wykorzystanie profesjonalnego centrum przetwarzania danych lub dostawcy usług szyfrowania danych). Zaleca się w możliwie precyzyjny sposób określać gwarantowany przez procesora poziom bezpieczeństwa usług przez niego świadczonych.[15]
U.o.d.o. milczy w kwestii dopuszczalności dalszego powierzenia przetwarzania danych przez procesorów. Przyjmuje się zatem, że, zasadniczo, o ile przepisy szczególne tego nie ograniczają, dalsze powierzenie przetwarzania danych osobowych przez procesora innym podmiotom jest dozwolone. Administrator danych powinien jednak posiadać wiedzę o wszystkich podmiotach, które będą zaangażowane w przetwarzanie danych ze strony procesora. W zależności od obranego modelu ochrony administrator może zakazać dalszego powierzenia przetwarzania danych lub uzależnić je od uprzedniej zgody. Niezależnie od przyjętego modelu współpracy dobrą praktyką jest określenie ram dalszego powierzenia w treści umowy z procesorem.
Dobrą praktyką działania mającego na celu dołożenie szczególnej staranności ochrony danych osobowych przez administratora danych jest określenie zasad nadzoru nad przetwarzającym. Administrator danych powinien posiadać konkretne uprawnienia w zakresie kontroli realizacji poszczególnych postanowień umowy przez procesora. Uprawnienia kontrolne umożliwiają administratorowi danych wzmocnienie nadzoru nad procesami realizowanymi przez procesora. W tym miejscu jednakże niezbędnym jest podkreślenie, że uprawnienia kontrolne, określone umową powierzenia, dają administratorowi danych jedynie możliwość wzmocnienia nadzoru nad procesorem, zaś realnym wzmocnieniem tego nadzoru będzie dopiero skorzystanie z tych uprawnień.
Procesor powinien być również zobowiązany do niezwłocznego informowania administratora danych o wszelkich istotnych zdarzeniach mających wpływ na bezpieczeństwo przetwarzanych przez niego danych, a w szczególności o wszelkich naruszeniach bezpieczeństwa. Prace legislacyjne nad kompleksową regulacją w zakresie ochrony danych osobowych w Unii Europejskiej, prowadzone obecnie przez instytucje europejskie[16] przewidują obowiązek powiadamiania przez administratorów danych krajowe organy ochrony danych o takich naruszeniach. Już obecnie analogiczne wymaganie zostało określone w ustawie Prawo telekomunikacyjne[17]. Zgodnie z art. 174a-174d p.t. operatorzy telekomunikacyjni zobowiązani są zgłaszać GIODO wszelkie naruszenia danych osobowych, a gdy naruszenie może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego, operator obowiązany jest do skierowania informacji również do osoby, której dane zostały naruszone. Zgodnie z Rozporządzeniem Komisji (UE) Nr 611/2013[18] operatorzy telekomunikacyjni obowiązani są powiadamiać właściwy organ krajowy (GIODO) o przypadku naruszenia danych osobowych nie później niż 24 godziny po wykryciu naruszenia danych osobowych, o ile jest to wykonalne[19]. Administrator danych powinien zatem posiadać aktualną wiedzę o wszelkich takich zdarzeniach, w celu zapewnienia odpowiednich środków zaradczych osobom, których dane dotyczą, jak też w celu wypełnienia ciążących na nim obowiązków informacyjnych względem GIODO.
Jednym z istotniejszych elementów wspomagających prowadzenie aktywnego nadzoru administratora danych nad przetwarzaniem danych przez procesora mogą być kary za naruszenie postanowień umowy. Instytucja kary umownej może stanowić dodatkowy element dyscyplinujący procesora do postępowania zgodnie z uzgodnionymi regułami.
Należy wspomnieć o coraz powszechniej oferowanych rozwiązaniach w zakresie usług świadczonych z wykorzystaniem internetu (powszechnie określane jako „usługi w chmurze” lub „usługi chmury obliczeniowej”[20]). Istnieją różne modele „usług chmurowych”[21]. Przetwarzanie danych osobowych przez dostawcę takiej usługi jest uzależnione od wybranego modelu „chmury”. Komisja Europejska zwraca uwagę na podwyższone ryzyko wynikające z korzystania z usług w „chmurze”.[22] Jako podstawowe zagrożenia wymienia się .m.in.: znaczne zmniejszenie, a nawet możliwość utraty kontroli administratora danych nad przetwarzaniem danych; zbytnie rozwarstwienie odpowiedzialności poprzez wykorzystywanie wielu poddostawców przez dostawcę usługi; możliwość transferu danych do dostawców, działających na podstawie przepisów niezapewniających odpowiedniego poziomu ochrony osobom, których dane dotyczą; podwyższona możliwość wykorzystania danych do własnych celów poddostawców w łańcuchu[23]. Przy podejmowaniu decyzji o współpracy z dostawcą usług w „chmurze” należy zatem szczególny nacisk położyć na dokładne określenie procesu przetwarzania danych, środków bezpieczeństwa zastosowanych przez dostawcę oraz trybu informowania o podwykonawcach, którym dostawca zleca poszczególne czynności związane z realizacją usługi.
Na uwagę zasługują wszelkie usługi realizowane poza granicami kraju administratora danych, a w szczególności realizowane przez podmioty spoza Europejskiego Obszaru Gospodarczego (dalej „EOG”). Zgodnie z przyjętym na podstawie Dyrektywy 95/46/WE modelem przetwarzanie danych osobowych wewnątrz EOG nie podlega dodatkowym obostrzeniom. Należy wszakże mieć na uwadze fakt, że implementacja postanowień Dyrektywy 95/46/WE przez państwa członkowskie przebiegała w sposób niejednorodny, co spowodowało liczne różnice w zakresie ich implementacji. Wymagania w zakresie zabezpieczenia przetwarzania danych mogą zatem być mocno zróżnicowane. Zgodnie z wymaganiami art. 17 ust. 3 Dyrektywy 95/46/WE oraz Opinią Grupy Roboczej 8/2010[24] w zakresie zabezpieczeń technicznych przetwarzania danych osobowych przetwarzający dane osobowe administratora danych powinien stosować kumulatywnie wymogi prawa państwa administratora danych oraz prawa państwa przetwarzającego w każdym przypadku, gdy wymagania te są bardziej szczegółowe.
W przypadkach powierzenia przetwarzania danych podmiotom spoza EOG, które nie zapewniają adekwatnego poziomu ochrony danych, konieczne będzie spełnienie dodatkowych wymagań, określonych w art. 47 u.o.d.o.[25] Na uwagę zasługuje fakt, że od 1 stycznia 2015 r. transfer danych osobowych na podstawie „standardowych klauzul umownych” zatwierdzonych przez Komisję Europejską zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE oraz „wiążących reguł korporacyjnych” zatwierdzonych przez GIODO jest dopuszczalny bez dalszych ograniczeń. W poprzednim stanie prawnym zastosowanie któregoś z ww. środków wymagało dodatkowej zgody ze strony GIODO.
Podsumowując, niezależnie od wprowadzonych postanowień dodatkowych w umowie z procesorem należy pamiętać, że administrator danych jest odpowiedzialny za całokształt przetwarzania danych, również na etapie realizowanym przez podwykonawcę. W interesie administratora jest zatem w taki sposób konstruować umowę współpracy z podwykonawcą, aby w możliwie efektywny sposób można było realizować czynności nadzorcze.
Odpowiedzialność administratora i procesora
Jednym z najistotniejszych aspektów instytucji powierzenia przetwarzania danych jest kwestia odpowiedzialności za przetwarzanie danych.
Na gruncie prawa administracyjnego administrator danych odpowiedzialny jest za wszystkie elementy procesu przetwarzania danych, również, zgodnie z art. 31 ust. 4 u.o.d.o., za wszelkie operacje realizowane przez procesora. Administrator danych nie może zwolnić się z tej odpowiedzialności, niezależnie od przyjętej treści umowy powierzenia. W związku z tym administrator danych odpowiedzialny będzie również w przypadku, gdy procesor przetwarza dane niezgodnie z umową powierzenia (por: Wyrok NSA z 21 lutego 2000r. II SA 1785/99).
Kwestią dyskusyjną do 2004 r. pozostawała odpowiedzialność procesora, do którego nie miały zastosowania uprawnienia kontrolne GIODO. Obecnie uprawnienia GIODO dotyczą wszystkich podmiotów przetwarzających dane osobowe na terenie RP. Ustawodawca w art. 31 ust. 3 u.o.d.o. in fine precyzuje odpowiedzialność procesora w zakresie nieprzestrzegania przepisów dotyczących zabezpieczenia przetwarzania danych. W tym zakresie ponosi on odpowiedzialność jak administrator danych. Jednocześnie, zgodnie z art. 31 ust. 4 u.o.d.o., in fine odpowiedzialność procesora nie zostaje również wyłączona w przypadku przetwarzania danych niezgodnie z zawartą umową. W obu przypadkach, zgodnie z art. 31 ust. 5 u.o.d.o., podmiot przetwarzający dane osobowe podlega w pełni zakresowi nadzoru sprawowanego przez GIODO i może być adresatem decyzji GIODO.[26]
Na gruncie odpowiedzialności cywilnej wobec osoby, której dane dotyczą, administrator danych oraz procesor odpowiedzialni są na zasadach ogólnych, z tytułu naruszenia dóbr osobistych (art. 23 i 24 oraz 415 i 448 k.c.). Administrator danych może ponosić dodatkowo odpowiedzialność na zasadzie ryzyka w przypadku bezprawnego działania procesora, działającego na jego zlecenie (art. 429 i 430 k.c.).
Procesor odpowiedzialny jest wobec administratora danych w zakresie odpowiedzialności kontraktowej za niewykonanie lub nienależyte wykonanie umowy (art. 471 k.c.) oraz deliktowej (art. 415 k.c.).[27]
Na administratorze danych oraz na procesorze ciąży również odpowiedzialność karna na podstawie przepisów Rozdziału 8 u.o.d.o. W tym zakresie procesor może odpowiadać za przetwarzanie danych bez podstawy prawnej (art. 49 u.o.d.o.), ich udostępnienie osobie nieupoważnionej (art. 51 u.o.d.o.), naruszenie obowiązku zabezpieczenia danych (art. 52 u.o.d.o.) czy też udaremnienie lub utrudnienie kontroli (art. 54a u.o.d.o.).
Ustalenie administratora danych oraz przetwarzającego
W niektórych sytuacjach skomplikowanych relacji gospodarczych i prawnych pomiędzy podmiotami ustalenie charakteru, w którym występuje podmiot przetwarzający dane osobowe może nastręczać istotnych trudności. Przykładowo podmiot może uważać się za administratora danych w sytuacji, w której nie posiada on podstaw prawnych ku temu, lub też, co jest częściej spotykane, podmiot chciałby występować w procesie wyłącznie w roli procesora, podczas gdy z okoliczności wynika, że powinien ponosić pełną odpowiedzialność związaną z administrowaniem danymi, które gromadzi. Należy podkreślić, że podejściem błędnym w takich sytuacjach jest umowne ustalanie przez strony charakteru, w jakim będą one występować. Bycie administratorem danych jest bowiem wynikiem analizy stanu faktycznego. W szczególności ustaleniu, kto w danym stosunku jest administratorem danych, pomaga analiza definicji administratora danych. Zgodnie z przytoczoną już definicją za administratora danych uważany jest podmiot, który decyduje o celach i środkach przetwarzania danych. Jak podkreśla Grupa Robocza art. 29 UE[28], nadrzędnym i wiodącym elementem w ocenie charakteru podmiotu, w jakim występuje on w danej sytuacji procesu przetwarzania, jest możliwość określania celu przetwarzania danych. Ten, kto podejmuje decyzje o tym, w jakim celu gromadzone będą dane, powinien być uważany za administratora danych. Zgodnie z przytoczoną opinią decyzje w zakresie wykorzystania środków przetwarzania danych niejednokrotnie są podejmowane przez podmioty, którym administratorzy danych powierzyli ich przetwarzanie, zatem informacje o tym, kto w danym stosunku podejmuje decyzje o wykorzystaniu konkretnych środków, nie powinny być istotne z punktu widzenia oceny charakteru podmiotu przetwarzającego dane osobowe. Ponadto należy pamiętać, że podmiot, któremu administrator danych powierzył przetwarzanie danych, zgodnie z definicją zawartą w art. 2 lit (e) Dyrektywy 95/46/WE, oznacza podmiot przetwarzający dane osobowe w imieniu administratora danych.
Podsumowanie
Instytucja powierzenia przetwarzania danych osobowych stanowi obecnie bardzo istotny element stosunków gospodarczych. Szybki rozwój technologii oraz specjalizacja podmiotów zawodowo trudniących się zabezpieczeniem przetwarzania danych pozwala administratorom danych osobowych na prowadzenie działań gospodarczych (w tym również realizację celów przetwarzania danych osobowych) w coraz lepszy i bezpieczniejszy sposób przy wykorzystaniu podmiotów zewnętrznych. Administratorzy danych powinni jednak mieć świadomość, że powierzenie przetwarzania danych poza sferę bezpośredniego wpływu – do podmiotu trzeciego – może wiązać się z istotnym ryzykiem zarówno dla samych administratorów danych, jak też dla prywatności osób, których dane dotyczą. W trakcie realizacji procesów powierzenia przetwarzania danych osobowych obcym podmiotom administratorzy danych powinni zatem stosować odpowiednie środki bezpieczeństwa, mając na uwadze fakt, że środki ustawowe są jedynie niezbędnym i wymagalnym minimum, wyznaczonym przez ustawodawcę w sposób obiektywny. Na administratorach danych ciąży obowiązek zachowania szczególnej staranności przy przetwarzaniu danych osobowych, przejawem którego jest takie dobranie podmiotów współpracujących oraz środków ochrony przetwarzania danych osobowych, aby w danej sytuacji poufność przetwarzania została zapewniona, a interesy osób, których dane dotyczą – zabezpieczone.
Tomasz Wypych
Marcin Wielisiej
Wstęp
Instytucja powierzenia przetwarzania danych osobowych określona została w art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej „u.o.d.o.”)[1]. Zgodnie z dyspozycją tego przepisu powierzenie przetwarzania danych osobowych przez administratora danych jest dopuszczalne na podstawie pisemnej umowy z podmiotem przetwarzającym – wykonawcą, zwanym również procesorem[2].
Powierzenie przetwarzania danych innemu podmiotowi nie prowadzi do sytuacji, w której procesor staje się nowym administratorem tych danych. Podmiot, któremu powierzono przetwarzanie danych, uprawniony jest do wykonywania zleconych mu czynności dotyczących powierzonych danych wyłącznie „na zlecenie i w imieniu administratora danych”. Na procesorze zatem nie ciążą obowiązki, które, zgodnie z u.o.d.o., dotyczą wyłącznie administratora danych: spełnienia przesłanek legalności przetwarzania danych z art. 23 i 27 u.o.d.o., spełnienia obowiązków informacyjnych (art. 24 i 25 u.o.d.o.), obowiązków staranności określonych w art. 26 u.o.d.o. czy też obowiązków notyfikacyjnych (rejestracyjnych) GIODO określonych w art. 40 u.o.d.o. Po realizacji zlecenia procesor zobowiązany jest usunąć lub zwrócić powierzone mu dane.
Outsourcing usług jest obecnie bardzo powszechną metodą wykonywania wielu czynności, w tym również przetwarzania danych osobowych. Instytucja powierzenia przetwarzania danych osobowych jest często i chętnie wykorzystywana przez administratorów danych. Podejmując decyzję o powierzeniu przetwarzania danych innemu podmiotowi, należy wziąć pod uwagę szereg elementów, na które zwracamy szczególną uwagę w niniejszym artykule.
Granice powierzenia przetwarzania danych osobowych
Zgodnie z art. 31 ust.1 u.o.d.o. każdy administrator danych może zlecić wykonywanie pewnych lub nawet wszystkich operacji przetwarzania danych osobowych, o ile zachowany będzie tryb zlecenia określony tym przepisem. Przepis określa dwa podstawowe elementy, jakie muszą zostać spełnione: 1) powierzenie następuje na podstawie pisemnej umowy; 2) umowa winna określać cel i zakres powierzenia przetwarzania. U.o.d.o. nie określa żadnych dodatkowych ograniczeń w zakresie powierzenia przetwarzania danych osobowych innemu podmiotowi. Zlecenie może zatem obejmować wszelkie czynności przetwarzania danych, w tym gromadzenie, modyfikowanie, kopiowanie, usuwanie[3], jak też udostępnienie danych. Warto zaznaczyć, że w myśl art. 7 pkt 4 u.o.d.o. administratorem danych jest podmiot, który decyduje o celach i środkach przetwarzania danych. Przepis nie nakłada na administratora danych obowiązku wykonywania czynności przetwarzania danych, a zatem dopuszczalna jest sytuacja, w której administrator danych nie będzie posiadał fizycznego kontaktu z gromadzonymi danymi, a wszystkie procesy przetwarzania danych będą powierzone innemu podmiotowi[4].
W pewnych sytuacjach zasada umożliwiająca powierzenie przetwarzania danych bez dodatkowych wymagań ulega jednak ograniczeniom. Ograniczenie takie może występować w formie bezpośredniego zakazu powierzenia przetwarzania danych osobowych (np. art. 8 ust. 2 ustawy o usługach detektywistycznych[5]) lub wynikać z przepisów szczególnych, wyznaczających zakres specjalnej ochrony określonym kategoriom informacji (np. tajemnice zawodowe). W przypadku gdy przepisy szczególne narzucają dodatkowe obowiązki w zakresie pewnych kategorii informacji, powierzenie przetwarzania danych objętych tajemnicą osobom, których obowiązek zachowania tajemnicy nie dotyczy, będzie niedozwolone (np. tajemnica lekarska, radcy prawnego, adwokata itd.). W tym kontekście przykładowo powierzenie przetwarzania danych dotyczących pacjenta przez osoby zawodowo trudniące się ochroną zdrowia, zobowiązane ustawowo do zachowania tajemnicy lekarskiej, podmiotom i osobom, których ten obowiązek nie obejmuje (np. służbom wsparcia technicznego, dostawcom systemów informatycznych itp.) bez zgody pacjenta nie będzie dopuszczalne[6].
Administrator danych może również powierzyć procesorowi wykonywanie czynności faktycznych, prowadzących do spełnienia niektórych ciążących na administratorze danych obowiązków wynikających z u.o.d.o., o ile czynności te będą zgodne z treścią umowy powierzenia. Procesor może zatem w imieniu administratora danych i na jego zlecenie spełniać obowiązki informacyjne wobec osób, których dane dotyczą, gromadzić zgody na przetwarzanie danych czy też zgłaszać zbiory do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (w tym przypadku jednak konieczne jest dodatkowe pełnomocnictwo)[7].
Obowiązki procesora
Podstawowym obowiązkiem procesora jest właściwe zabezpieczenie danych osobowych w trakcie realizacji przez niego czynności zleconych przez administratora danych. Zgodnie z art. 31 ust. 3 u.o.d.o. zobowiązany on jest do podjęcia środków zabezpieczających jeszcze przed rozpoczęciem przetwarzania danych. U.o.d.o. ustanawia minimalny poziom środków bezpieczeństwa, jaki musi być zastosowany zarówno do przetwarzania danych przez administratora danych, jak również podmiotu, któremu administrator powierzył ich przetwarzanie (w art. 36-39a u.o.d.o.). Co więcej, w zakresie przestrzegania tych przepisów podmiot przetwarzający odpowiedzialny jest jak administrator danych.
Administrator danych może również powierzyć procesorowi wykonywanie dodatkowych obowiązków. W zależności od charakteru czynności będących przedmiotem umowy mogą być to zarówno dodatkowe czynności na danych, jak również szczegółowe warunki zabezpieczenia ich przetwarzania czy też inne czynności związane z realizacją umowy.
Umowa powierzenia przetwarzania danych osobowych
Zgodnie z art. 31 ust. 1 u.o.d.o. powierzenie przetwarzania danych powinno zostać dokonane w formie pisemnej umowy pomiędzy administratorem danych a podmiotem, któremu powierza on przetwarzanie. Umowa taka przybiera zazwyczaj postać stosownej klauzuli w ramach szerszej umowy o świadczenie usług. Zgodnie z poglądem doktryny umowę powierzenia przetwarzania danych osobowych należy uznać na gruncie prawa cywilnego za umowę o świadczenie usług[8], do której, zgodnie z art. 750 k.c., należy stosować odpowiednio przepisy o zleceniu. Należy podkreślić, że zgodnie z art. 735 § 1 k.c. umowa zlecenie jest zasadniczo umową odpłatną[9].
Art. 31 ust. 1 u.o.d.o. przewiduje formę pisemną umowy powierzenia przetwarzania danych osobowych. Za niedochowanie formy pisemnej u.o.d.o. jednak nie precyzuje sankcji na gruncie prawa cywilnego. Można zatem, zgodnie z ogólnymi zasadami k.c., przyjąć, że niedochowanie formy pisemnej przy powierzeniu przetwarzania danych osobowych nie powoduje nieważności takiej czynności. Niedochowanie formy pisemnej będzie jednak, jako takie, działaniem niezgodnym z u.o.d.o. i będzie rodzić sankcje administracyjne. GIODO, zgodnie z uprawnieniami określonymi w art. 18 ust. 1 u.o.d.o., w drodze decyzji administracyjnej może nakazać administratorowi danych przywrócenie stanu zgodnego z prawem[10]. Należy również wspomnieć, że, na podstawie art. 20 § 2 ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji[11], GIODO uprawniony jest, jako organ egzekucyjny w zakresie egzekucji administracyjnej obowiązków o charakterze niepieniężnym, do nałożenia i egzekucji w trybie przepisów Działu III tej ustawy grzywny w celu przymuszenia do wykonania decyzji administracyjnej.
Elementem koniecznym umowy powierzenia przetwarzania danych osobowych jest określenie przez administratora danych celu i dozwolonego zakresu przetwarzania danych przez procesora. Procesor może przetwarzać powierzone mu dane osobowe wyłącznie w celu i zakresie określonym w umowie powierzenia. W literaturze wskazuje się, że przekroczenie przez procesora ram wyznaczonych w umowie powierzenia może powodować, poza odpowiedzialnością cywilną wobec administratora danych, odpowiedzialność administracyjną oraz karną zgodnie z Rozdziałem 5 u.o.d.o., gdyż w zakresie nieobjętym powierzeniem będzie on traktowany jako odrębny administrator danych, na którym ciążyć będą wszystkie obowiązki wynikające z ustawy[12].
Określony przez administratora cel przetwarzania danych przez procesora z reguły będzie polegał na realizacji przedmiotu umowy o świadczenie usług, a zatem wykorzystanie danych w sposób ściśle określony przez administratora danych. Jakiekolwiek wykorzystanie danych w celu niezgodnym z celem określonym w umowie będzie traktowane jako naruszenie umowy powierzenia. Procesor zatem nie może wykorzystywać powierzonych danych w innych celach, w szczególności nie może wykorzystywać powierzonych mu danych do realizacji celów własnych.
Określenie zakresu przetwarzania danych przez procesora powinno polegać w szczególności na określeniu: 1) zakresu danych, które będą gromadzone oraz 2) zakresu operacji, które zostały przekazane do wykonania w imieniu administratora danych. Określenie tego elementu umowy powierzenia przetwarzania danych może w pewnych sytuacjach nastręczać istotnych problemów. Zbyt ścisłe określenie operacji przetwarzania może istotnie skomplikować proces ich przetwarzania. Zakres informacji, do których przetwarzania procesor jest upoważniony, może również powodować konieczność częstej modyfikacji umowy. W pewnych okolicznościach określenie zakresu informacji może również nie być możliwe (np. niszczenie dokumentów zawierających dane osobowe). Każdy z przypadków należy rozpatrywać indywidualnie, biorąc pod uwagę zasadę dążenia do minimalizacji ryzyka związanego z powierzeniem przetwarzania danych podmiotowi, nad którym administrator danych posiada wyłącznie ograniczoną kontrolę. Niemniej jednak precyzyjne określenie zakresu przetwarzania danych przez procesora jest niezbędne w celu wyznaczenia granicy odpowiedzialności procesora oraz pozwala na dobranie właściwych środków nadzoru nad procesami przetwarzania danych przez administratora danych.[13]
Elementy dodatkowe umowy powierzenia przetwarzania – nadzór administratora danych
Administrator danych, kierując się należytą starannością w celu ochrony interesów osób, których dane dotyczą[14], powinien oceniać oraz minimalizować ryzyka związane z przetwarzaniem danych osobowych już na etapie wyboru dostawcy usług przetwarzania danych. W myśl art. 31 ust. 3 u.o.d.o. zapewnienie bezpieczeństwa przez dostawcę usług (spełnienie co najmniej wymagań określonych w art. 36-39 u.o.d.o.), powinno być kluczowym kryterium jego wyboru. W przypadku gdy w wyniku weryfikacji potencjalnego wykonawcy niemożliwe będzie ustalenie bezpiecznego poziomu realizacji działań na powierzonych danych, administrator danych nie powinien podejmować współpracy z tym wykonawcą.
Decydując się na współpracę z wykonawcą, zapewniającym odpowiedni poziom bezpieczeństwa potwierdzony wstępnym badaniem, administrator danych powinien zapewnić sobie w umowie powierzenia gwarancję utrzymania tego poziomu bezpieczeństwa również przez cały okres obowiązywania umowy.
W praktyce umowa powierzenia przetwarzania danych osobowych, obok funkcji legalizacyjnej, pełni również funkcję zabezpieczającą administratora danych przed ewentualnymi naruszeniami ze strony procesora. Zaleca się, aby administrator danych w szczególności wzbogacił umowę o postanowienia określające: 1) szczególne środki ochrony danych, których wykorzystanie jest obowiązkowe; 2) zasady dalszego powierzenia przetwarzania danych (tzw. podpowierzenia); 3) obowiązek poddania się procesora kontroli przeprowadzonej przez administratora danych lub osoby przez niego wskazane; 4) obowiązek powiadamiania administratora danych o wszelkich sytuacjach związanych z przetwarzaniem danych, w tym o żądaniach osób, których dane dotyczą, o naruszeniach bezpieczeństwa danych; 5) obowiązek ścisłej współpracy z administratorem danych w celu ochrony interesów osób, których dane dotyczą; 6) sankcje umowne za naruszenie warunków umowy oraz środków bezpieczeństwa przetwarzania danych.
Zastosowanie szczególnych środków bezpieczeństwa będzie każdorazowo uzależnione od indywidualnej sytuacji, administrator danych powinien mieć jednak istotny wpływ na środki zastosowane przez procesora. Szczególną sytuacją może być powierzenie przetwarzania danych osobowych przez administratora danych w celu podwyższenia bezpieczeństwa tych danych (np. wykorzystanie profesjonalnego centrum przetwarzania danych lub dostawcy usług szyfrowania danych). Zaleca się w możliwie precyzyjny sposób określać gwarantowany przez procesora poziom bezpieczeństwa usług przez niego świadczonych.[15]
U.o.d.o. milczy w kwestii dopuszczalności dalszego powierzenia przetwarzania danych przez procesorów. Przyjmuje się zatem, że, zasadniczo, o ile przepisy szczególne tego nie ograniczają, dalsze powierzenie przetwarzania danych osobowych przez procesora innym podmiotom jest dozwolone. Administrator danych powinien jednak posiadać wiedzę o wszystkich podmiotach, które będą zaangażowane w przetwarzanie danych ze strony procesora. W zależności od obranego modelu ochrony administrator może zakazać dalszego powierzenia przetwarzania danych lub uzależnić je od uprzedniej zgody. Niezależnie od przyjętego modelu współpracy dobrą praktyką jest określenie ram dalszego powierzenia w treści umowy z procesorem.
Dobrą praktyką działania mającego na celu dołożenie szczególnej staranności ochrony danych osobowych przez administratora danych jest określenie zasad nadzoru nad przetwarzającym. Administrator danych powinien posiadać konkretne uprawnienia w zakresie kontroli realizacji poszczególnych postanowień umowy przez procesora. Uprawnienia kontrolne umożliwiają administratorowi danych wzmocnienie nadzoru nad procesami realizowanymi przez procesora. W tym miejscu jednakże niezbędnym jest podkreślenie, że uprawnienia kontrolne, określone umową powierzenia, dają administratorowi danych jedynie możliwość wzmocnienia nadzoru nad procesorem, zaś realnym wzmocnieniem tego nadzoru będzie dopiero skorzystanie z tych uprawnień.
Procesor powinien być również zobowiązany do niezwłocznego informowania administratora danych o wszelkich istotnych zdarzeniach mających wpływ na bezpieczeństwo przetwarzanych przez niego danych, a w szczególności o wszelkich naruszeniach bezpieczeństwa. Prace legislacyjne nad kompleksową regulacją w zakresie ochrony danych osobowych w Unii Europejskiej, prowadzone obecnie przez instytucje europejskie[16] przewidują obowiązek powiadamiania przez administratorów danych krajowe organy ochrony danych o takich naruszeniach. Już obecnie analogiczne wymaganie zostało określone w ustawie Prawo telekomunikacyjne[17]. Zgodnie z art. 174a-174d p.t. operatorzy telekomunikacyjni zobowiązani są zgłaszać GIODO wszelkie naruszenia danych osobowych, a gdy naruszenie może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego, operator obowiązany jest do skierowania informacji również do osoby, której dane zostały naruszone. Zgodnie z Rozporządzeniem Komisji (UE) Nr 611/2013[18] operatorzy telekomunikacyjni obowiązani są powiadamiać właściwy organ krajowy (GIODO) o przypadku naruszenia danych osobowych nie później niż 24 godziny po wykryciu naruszenia danych osobowych, o ile jest to wykonalne[19]. Administrator danych powinien zatem posiadać aktualną wiedzę o wszelkich takich zdarzeniach, w celu zapewnienia odpowiednich środków zaradczych osobom, których dane dotyczą, jak też w celu wypełnienia ciążących na nim obowiązków informacyjnych względem GIODO.
Jednym z istotniejszych elementów wspomagających prowadzenie aktywnego nadzoru administratora danych nad przetwarzaniem danych przez procesora mogą być kary za naruszenie postanowień umowy. Instytucja kary umownej może stanowić dodatkowy element dyscyplinujący procesora do postępowania zgodnie z uzgodnionymi regułami.
Należy wspomnieć o coraz powszechniej oferowanych rozwiązaniach w zakresie usług świadczonych z wykorzystaniem internetu (powszechnie określane jako „usługi w chmurze” lub „usługi chmury obliczeniowej”[20]). Istnieją różne modele „usług chmurowych”[21]. Przetwarzanie danych osobowych przez dostawcę takiej usługi jest uzależnione od wybranego modelu „chmury”. Komisja Europejska zwraca uwagę na podwyższone ryzyko wynikające z korzystania z usług w „chmurze”.[22] Jako podstawowe zagrożenia wymienia się .m.in.: znaczne zmniejszenie, a nawet możliwość utraty kontroli administratora danych nad przetwarzaniem danych; zbytnie rozwarstwienie odpowiedzialności poprzez wykorzystywanie wielu poddostawców przez dostawcę usługi; możliwość transferu danych do dostawców, działających na podstawie przepisów niezapewniających odpowiedniego poziomu ochrony osobom, których dane dotyczą; podwyższona możliwość wykorzystania danych do własnych celów poddostawców w łańcuchu[23]. Przy podejmowaniu decyzji o współpracy z dostawcą usług w „chmurze” należy zatem szczególny nacisk położyć na dokładne określenie procesu przetwarzania danych, środków bezpieczeństwa zastosowanych przez dostawcę oraz trybu informowania o podwykonawcach, którym dostawca zleca poszczególne czynności związane z realizacją usługi.
Na uwagę zasługują wszelkie usługi realizowane poza granicami kraju administratora danych, a w szczególności realizowane przez podmioty spoza Europejskiego Obszaru Gospodarczego (dalej „EOG”). Zgodnie z przyjętym na podstawie Dyrektywy 95/46/WE modelem przetwarzanie danych osobowych wewnątrz EOG nie podlega dodatkowym obostrzeniom. Należy wszakże mieć na uwadze fakt, że implementacja postanowień Dyrektywy 95/46/WE przez państwa członkowskie przebiegała w sposób niejednorodny, co spowodowało liczne różnice w zakresie ich implementacji. Wymagania w zakresie zabezpieczenia przetwarzania danych mogą zatem być mocno zróżnicowane. Zgodnie z wymaganiami art. 17 ust. 3 Dyrektywy 95/46/WE oraz Opinią Grupy Roboczej 8/2010[24] w zakresie zabezpieczeń technicznych przetwarzania danych osobowych przetwarzający dane osobowe administratora danych powinien stosować kumulatywnie wymogi prawa państwa administratora danych oraz prawa państwa przetwarzającego w każdym przypadku, gdy wymagania te są bardziej szczegółowe.
W przypadkach powierzenia przetwarzania danych podmiotom spoza EOG, które nie zapewniają adekwatnego poziomu ochrony danych, konieczne będzie spełnienie dodatkowych wymagań, określonych w art. 47 u.o.d.o.[25] Na uwagę zasługuje fakt, że od 1 stycznia 2015 r. transfer danych osobowych na podstawie „standardowych klauzul umownych” zatwierdzonych przez Komisję Europejską zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE oraz „wiążących reguł korporacyjnych” zatwierdzonych przez GIODO jest dopuszczalny bez dalszych ograniczeń. W poprzednim stanie prawnym zastosowanie któregoś z ww. środków wymagało dodatkowej zgody ze strony GIODO.
Podsumowując, niezależnie od wprowadzonych postanowień dodatkowych w umowie z procesorem należy pamiętać, że administrator danych jest odpowiedzialny za całokształt przetwarzania danych, również na etapie realizowanym przez podwykonawcę. W interesie administratora jest zatem w taki sposób konstruować umowę współpracy z podwykonawcą, aby w możliwie efektywny sposób można było realizować czynności nadzorcze.
Odpowiedzialność administratora i procesora
Jednym z najistotniejszych aspektów instytucji powierzenia przetwarzania danych jest kwestia odpowiedzialności za przetwarzanie danych.
Na gruncie prawa administracyjnego administrator danych odpowiedzialny jest za wszystkie elementy procesu przetwarzania danych, również, zgodnie z art. 31 ust. 4 u.o.d.o., za wszelkie operacje realizowane przez procesora. Administrator danych nie może zwolnić się z tej odpowiedzialności, niezależnie od przyjętej treści umowy powierzenia. W związku z tym administrator danych odpowiedzialny będzie również w przypadku, gdy procesor przetwarza dane niezgodnie z umową powierzenia (por: Wyrok NSA z 21 lutego 2000r. II SA 1785/99).
Kwestią dyskusyjną do 2004 r. pozostawała odpowiedzialność procesora, do którego nie miały zastosowania uprawnienia kontrolne GIODO. Obecnie uprawnienia GIODO dotyczą wszystkich podmiotów przetwarzających dane osobowe na terenie RP. Ustawodawca w art. 31 ust. 3 u.o.d.o. in fine precyzuje odpowiedzialność procesora w zakresie nieprzestrzegania przepisów dotyczących zabezpieczenia przetwarzania danych. W tym zakresie ponosi on odpowiedzialność jak administrator danych. Jednocześnie, zgodnie z art. 31 ust. 4 u.o.d.o., in fine odpowiedzialność procesora nie zostaje również wyłączona w przypadku przetwarzania danych niezgodnie z zawartą umową. W obu przypadkach, zgodnie z art. 31 ust. 5 u.o.d.o., podmiot przetwarzający dane osobowe podlega w pełni zakresowi nadzoru sprawowanego przez GIODO i może być adresatem decyzji GIODO.[26]
Na gruncie odpowiedzialności cywilnej wobec osoby, której dane dotyczą, administrator danych oraz procesor odpowiedzialni są na zasadach ogólnych, z tytułu naruszenia dóbr osobistych (art. 23 i 24 oraz 415 i 448 k.c.). Administrator danych może ponosić dodatkowo odpowiedzialność na zasadzie ryzyka w przypadku bezprawnego działania procesora, działającego na jego zlecenie (art. 429 i 430 k.c.).
Procesor odpowiedzialny jest wobec administratora danych w zakresie odpowiedzialności kontraktowej za niewykonanie lub nienależyte wykonanie umowy (art. 471 k.c.) oraz deliktowej (art. 415 k.c.).[27]
Na administratorze danych oraz na procesorze ciąży również odpowiedzialność karna na podstawie przepisów Rozdziału 8 u.o.d.o. W tym zakresie procesor może odpowiadać za przetwarzanie danych bez podstawy prawnej (art. 49 u.o.d.o.), ich udostępnienie osobie nieupoważnionej (art. 51 u.o.d.o.), naruszenie obowiązku zabezpieczenia danych (art. 52 u.o.d.o.) czy też udaremnienie lub utrudnienie kontroli (art. 54a u.o.d.o.).
Ustalenie administratora danych oraz przetwarzającego
W niektórych sytuacjach skomplikowanych relacji gospodarczych i prawnych pomiędzy podmiotami ustalenie charakteru, w którym występuje podmiot przetwarzający dane osobowe może nastręczać istotnych trudności. Przykładowo podmiot może uważać się za administratora danych w sytuacji, w której nie posiada on podstaw prawnych ku temu, lub też, co jest częściej spotykane, podmiot chciałby występować w procesie wyłącznie w roli procesora, podczas gdy z okoliczności wynika, że powinien ponosić pełną odpowiedzialność związaną z administrowaniem danymi, które gromadzi. Należy podkreślić, że podejściem błędnym w takich sytuacjach jest umowne ustalanie przez strony charakteru, w jakim będą one występować. Bycie administratorem danych jest bowiem wynikiem analizy stanu faktycznego. W szczególności ustaleniu, kto w danym stosunku jest administratorem danych, pomaga analiza definicji administratora danych. Zgodnie z przytoczoną już definicją za administratora danych uważany jest podmiot, który decyduje o celach i środkach przetwarzania danych. Jak podkreśla Grupa Robocza art. 29 UE[28], nadrzędnym i wiodącym elementem w ocenie charakteru podmiotu, w jakim występuje on w danej sytuacji procesu przetwarzania, jest możliwość określania celu przetwarzania danych. Ten, kto podejmuje decyzje o tym, w jakim celu gromadzone będą dane, powinien być uważany za administratora danych. Zgodnie z przytoczoną opinią decyzje w zakresie wykorzystania środków przetwarzania danych niejednokrotnie są podejmowane przez podmioty, którym administratorzy danych powierzyli ich przetwarzanie, zatem informacje o tym, kto w danym stosunku podejmuje decyzje o wykorzystaniu konkretnych środków, nie powinny być istotne z punktu widzenia oceny charakteru podmiotu przetwarzającego dane osobowe. Ponadto należy pamiętać, że podmiot, któremu administrator danych powierzył przetwarzanie danych, zgodnie z definicją zawartą w art. 2 lit (e) Dyrektywy 95/46/WE, oznacza podmiot przetwarzający dane osobowe w imieniu administratora danych.
Podsumowanie
Instytucja powierzenia przetwarzania danych osobowych stanowi obecnie bardzo istotny element stosunków gospodarczych. Szybki rozwój technologii oraz specjalizacja podmiotów zawodowo trudniących się zabezpieczeniem przetwarzania danych pozwala administratorom danych osobowych na prowadzenie działań gospodarczych (w tym również realizację celów przetwarzania danych osobowych) w coraz lepszy i bezpieczniejszy sposób przy wykorzystaniu podmiotów zewnętrznych. Administratorzy danych powinni jednak mieć świadomość, że powierzenie przetwarzania danych poza sferę bezpośredniego wpływu – do podmiotu trzeciego – może wiązać się z istotnym ryzykiem zarówno dla samych administratorów danych, jak też dla prywatności osób, których dane dotyczą. W trakcie realizacji procesów powierzenia przetwarzania danych osobowych obcym podmiotom administratorzy danych powinni zatem stosować odpowiednie środki bezpieczeństwa, mając na uwadze fakt, że środki ustawowe są jedynie niezbędnym i wymagalnym minimum, wyznaczonym przez ustawodawcę w sposób obiektywny. Na administratorach danych ciąży obowiązek zachowania szczególnej staranności przy przetwarzaniu danych osobowych, przejawem którego jest takie dobranie podmiotów współpracujących oraz środków ochrony przetwarzania danych osobowych, aby w danej sytuacji poufność przetwarzania została zapewniona, a interesy osób, których dane dotyczą – zabezpieczone.
Tomasz Wypych
Marcin Wielisiej
[1] u.o.d.o. – Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych (tekst jednolity Dz.U. 2014, poz. 1182 ze zm.).
[2] Określenie przejęte w literaturze z definicji użytej w Dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, na określenie podmiotu („processor”), przetwarzającego dane osobowe w imieniu administratora danych („controller”).
[3] Postanowienie SN z 11 grudnia 2000 r., II KKN 438/00, OSNKW 2001, nr 3-4, poz. 33.
[4] Ustawa o ochronie danych osobowych. Komentarz., P. Barta, P. Litwinski, CH Beck, Warszawa 2009, s. 322.
[5] Por: Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy. Wyd. 4, A. Drozd, LexisNexis, Warszawa, 2007, s 208; Ustawa o ochronie danych osobowych. Komentarz. Wyd. 4, J. Barta, P. Fajgielski, R. Markiewicz, Wolters Kluwer, Kraków 2007, s. 568.
[6] Zgodnie z art. 14 ust. 1 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzecznik Praw Pacjenta (tekst jednolity Dz.U. z 2012 r. poz. 159 ze zm.) osoby wykonujące zawód medyczny zobowiązane są zachować w tajemnicy informacje związane z pacjentem. W art. 40 ust. 2 ustawy z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty (tekst jednolity Dz.U. z 2015 r. poz. 464) określony jest zamknięty katalog osób, którym można ujawnić dane objęte tajemnicą lekarską. W zakresie tego katalogu nie mieszczą się osoby niezwiązane zawodowo z udzielaniem świadczeń zdrowotnych. Por. również: Ochrona danych medycznych, M. Jackowski, Wolters Kluwer, Warszawa 2011, s.181-186.
[7] Ustawa…, A. Drozd, LexisNexis, Warszawa 2007, s 212.
[8] Tak: Ustawa…, J. Barta, P. Fajgielski, R. Markiewicz, s. 562; Ustawa…, P. Barta, P. Litwinski, s. 315; Dane osobowe w obrocie tradycyjnym i elektronicznym. Praktyczne problemy, A. Krasuski, Wolters Kluwer, Warszawa 2012, s. 138.
[9] Art. 735 § 1 k.c. wprowadza zasadę odpłatności, chyba że strony umówią się inaczej lub wynika to z okoliczności umowy. Tak: Kodeks cywilny. Komentarz. Tom III. Zobowiązania - część szczególna, A. Kidyba (red.), LEX, 2014.
[10] Ustawa…, J. Barta, P. Fajgielski, R. Markiewicz, s. 562.
[11] Ustawa z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (tekst jednolity Dz.U. 2014 poz 1619 ze zm.)
[12] Tak: Ustawa…, J. Barta, P. Fajgielski, R. Markiewicz, s. 565; Ustawa…, P. Barta, P. Litwinski, s. 317.
[13] Przykładowo powierzenie przez firmę przetwarzania danych osobowych jej klientów agencji marketingowej, bez ustalonego dopuszczalnego zakresu działań wykonywanych na tych danych, może powodować błędną ocenę agencji co do dopuszczalnego zakresu działań marketingowych wykonywanych w imieniu administratora danych, skierowanych do osób, których dane dotyczą. Niektóre działania mogą być niezamierzone przez administratora danych lub też być całkowicie niedozwolone (np. działania wykonywane za pomocą kanałów elektronicznych).
[14] Zgodnie z art. 26 u.o.d.o. administrator danych powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą.
[15] Należy wspomnieć, że wymagania w zakresie zabezpieczenia przetwarzania danych określone w art. 36-39 u.o.d.o. są wymaganiami minimalnymi, a wydane na podstawie delegacji art. 39a u.o.d.o. rozporządzenie z dnia 29 kwietnia 2004 r. MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100, poz. 1024) ma już 10 lat. Rozwiązania, o których mowa w tym rozporządzeniu, mogą być nieadekwatne do zagrożeń związanych z przetwarzaniem danych osobowych w konkretnych okolicznościach. Na administratorze danych mogą również ciążyć dodatkowe obowiązki, wynikające z przepisów szczególnych lub kodeksów, wytycznych, opinii, rekomendacji, decyzji innych organów (np. przygotowana przez Komisję Nadzoru Finansowego Rekomendacja D dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach). Administrator danych powinien zatem indywidualnie określić dopuszczalne środki zabezpieczenia przetwarzania danych przez procesora.
[16] Prace nad kompleksową reformą ochrony danych osobowych podjęte zostały w 2012 r. przez Komisję Europejską. Propozycja składa się z dwóch wniosków: rozporządzenia określającego ogólne unijne ramy ochrony danych oraz dyrektywy w sprawie ochrony danych osobowych przetwarzanych na potrzeby zapobiegania przestępstwom, wykrywania ich, prowadzenia dochodzeń w ich sprawie i ich ścigania oraz powiązanych działań wymiaru sprawiedliwości w sprawach karnych. Obecnie (maj 2015 r.) prace nad rozporządzeniem prowadzone są równolegle przez trzy instytucje: Komisję Europejską, Parlament Europejski oraz Radę Unii. Na temat projektu: http://ec.europa.eu/justice/data-protection/review/actions/index_en.htm.
[17] Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (tekst jednolity Dz.U. 2014 poz. 243, ze zm.)
[18] Rozporządzenie Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej. Pełny tekst dostępny również na stronie GIODO: http://www.giodo.gov.pl/plik/id_p/5212/j/pl/.
[19] Więcej informacji na stronach GIODO: http://www.giodo.gov.pl/1520190/.
[20] Zgodnie z definicją prezentowaną w Opinii Grupy Roboczej ds. Ochrony Danych powołana na mocy art. 29 (WP 196) 5/2012 Chmura obliczeniowa (cloud computing) obejmuje zestaw technologii i modeli usług, które koncentrują się na wykorzystywaniu i dostarczaniu poprzez Internet aplikacji informatycznych, możliwości przetwarzania, zasobów pamięci („storage and memory space”) http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_pl.pdf.
[21] Wyróżnia się kilka modeli chmury obliczeniowej: PaaS, IaaS, SaaS. Wybór konkretnego modelu powinien zależeć od celu podjęcia współpracy, charakteru działań oraz kategorii danych. Więcej na temat zagrożeń oraz opracowań dotyczących usług chmurowych: Cloud computing. Przetwarzanie na dużą skalę i bezpieczeństwo danych, C. Odterwalder, [w:] Cloud computing. Przetwarzanie w chmurach, red. G. Szpor, CH Beck, Warszawa 2013, s. 17.
[22] Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-społecznego i Komitetu Regionów „Wykorzystanie potencjału chmury obliczeniowej w Europie” http://eur-lex.europa.eu/legal-content/PL-EN/TXT/?uri=CELEX:52012DC0529&from=PL.
[23] Memorandum Sopockie dotyczące przetwarzania danych w chmurze www.giodo.gov.pl/plik/id_p/2689/j/pl/.
[24] Opinia Grupy Roboczej ds. Ochrony Danych powołana na mocy art. 29 (WP 179) 8/2010 w sprawie prawa właściwego http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp179_pl.pdf.
[25] Zgodnie z art. 47 ust. 1 u.o.d.o. przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. Przesłanki zezwalające na przekazanie danych do państwa trzeciego zawarte są w ust. 3 tego art. oraz w art. 48 u.o.d.o.
[26] Por. Ustawa…, A. Drozd, LexisNexis, Warszawa 2007, s. 211; Ustawa…, P. Barta, P. Litwinski, s. 318; Ustawa .., J. Barta, P. Fajgielski, R. Markiewicz, s. 564.
[27] Por. Ustawa…, A. Drozd, LexisNexis, Warszawa 2007, s. 213; Ustawa…, P. Barta, P. Litwinski, s. 318-320; Ustawa…, J. Barta, P. Fajgielski, R. Markiewicz, s. 564-566.
[28] Opinia Grupy Roboczej ds. Ochrony Danych powołana na mocy art. 29 (WP 169) 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający”, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_pl.pdf.
Prawo i praktyka
Przygody Radcy Antoniego
Odwiedź także
Nasze inicjatywy
