Kim jest procesor w rozumieniu RODO?

Na początku wyjaśnijmy, kim właściwie jest podmiot przetwarzający. Został on zdefiniowany w art. 4 pkt 8 rozporządzenia RODO, jako osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Takim podmiotem może być np. biuro rachunkowe zajmujące się kadrami czy firma kurierska, która realizuje zamówienia na zlecenie właściciela sklepu internetowego.
Warto pamiętać, że dopuszczalny zakres działań procesora zawsze będzie określał administrator, ponieważ to on definiuje cele i sposoby przetwarzania danych. Podmiot przetwarzający nigdy nie powinno poza te granice wykroczyć, co więcej, może dokonywać przetwarzania wyłącznie w zakresie określonym w zawartej z administratorem umowie lub innym instrumencie prawnym. Przekroczenie umownych granic wiąże się z ryzykiem powstania odpowiedzialności.
Na marginesie warto zwrócić uwagę, że koncepcja powierzenia przetwarzania danych osobowych nie jest całkowicie nowa. Pojawiła się już w ustawie o ochronie danych osobowych. Unijny ustawodawca znacząco rozbudował jednak tę konstrukcję.
Kiedy administrator musi podpisać umowę powierzenia przetwarzania danych osobowych?
Sam fakt współpracy administratora z inną firmą nie oznacza jeszcze, że ma on obowiązek zawierać umowę o przetwarzanie danych osobowych. Jest to jednak obligatoryjne w sytuacji, kiedy współpraca to polega na oddelegowaniu innemu podmiotowi operacji związanych z przetwarzaniem danych osobowych (powierzenie przetwarzania danych osobowych na udokumentowane polecenie administratora poprzez udostępnienie danych osobowych). Zobrazujmy to na prostym przykładzie.
Jeśli firma korzysta z usługi software house’u, który przeprowadza działania threat hunting i w tym celu zyskuje wgląd w pliki pracownicze, podpisanie umowy o powierzeniu przetwarzaniu danych osobowych będzie niezbędne. Jeżeli jednak ta sama firma zostaje wynajęta do tzw. promptingu AI, czyli optymalizowaniu poleceń lub sugestii dla modeli AI, podpisywanie takiego kontraktu z reguły będzie zbędne, chyba że działanie algorytmu mogłoby prowadzić do przetwarzania danych osobowych.
Przykładem sytuacji, kiedy podpisanie umowy powierzenia przetwarzania danych jest niezbędne, będzie też:
- korzystanie z usług agencji marketingowej do celów prowadzenia działań reklamowych;
- korzystanie ze wsparcia agencji rekrutacyjnej lub headhunterskiej, która ma za zadanie znaleźć specjalistów dla firmy do współpracy;
- korzystanie przez administratora z usług chmurowych typu SaaS (np. platformy CRM lub ERP), kiedy dane klientów są przetwarzane przez dostawcę oprogramowania.
Umowa powierzenia przetwarzania danych a upoważnienie do przetwarzania. Na czym polega różnica między nimi?

Od umowy powierzenia należy odróżnić upoważnienie. O ile kontrakt powierzenia zawiera się z podmiotem pozostającym na zewnątrz danej organizacji, upoważnienie jest udzielane osobom operującym wewnątrz danej struktury, a zatem pracownikom, ale też współpracownikom działającym na podstawie umowy cywilnoprawnej lub pozostającym w stosunku B2B. Prawo do udzielenia upoważnienia wynika z art. 29 RODO.
Upoważnienie jest udzielane przez administratora i ma na celu legalizację przetwarzania danych osobowych przez osobę, która takie kompetencje otrzymała. Warto pamiętać, aby upoważnienia udzielać zawsze na piśmie, szczególnie jeśli chodzi o sposoby przetwarzania danych osobowych i obowiązki podmiotu przetwarzającego dla administratora danych i odpowiedzialności podmiotu przetwarzającego jak i realizowanie obowiązków informacyjnych. Taki dokument czyni zadość zasadzie rozliczalności w razie kontroli organu nadzorczego. W treści upoważnienia powinny znaleźć się przynajmniej następujące informacje:
- data udzielenia upoważnienia – dzięki temu można ocenić, czy czynności pracownika mające na celu przetwarzanie danych nie są dokonywane przed udzieleniem upoważnienia;
- dokładne określenie osoby upoważnionej – wskazanie imienia, nazwiska, numeru PESEL, a w przypadku współpracowników B2B również nazwy firmy;
- wskazanie zakresu upoważnienia oraz podstawy prawnej działania administratora – zakres nie może być szerszy niż ten, w jakim przetwarzania dokonuje sam administrator. Dokumencie należy określić dane jakie mogą być przetwarzane przez pracownika;
- czas trwania upoważnienia i warunki jego odwołania;
- wskazanie, że osoba upoważniona jest zobowiązana do zachowania w tajemnicy wszelkich informacji, jakie zdobyła w związku z przetwarzaniem danych;
- wskazanie podmiotu upoważniającego wraz z podpisem osoby uprawnionej do jego reprezentacji (np. członkowie zarządu w spółce z o.o.).
Dla zachowania zasady przejrzystości administrator powinien zadbać o prowadzenie rejestru upoważnień. Dzięki temu nie będzie wątpliwości, który z pracowników może podejmować takie działania i w jakim zakresie.
Czy administrator może dowolnie wybierać podmiot przetwarzający dane w jego imieniu?
Rozporządzenie RODO nie wskazuje wprost, jakie warunki muszą zostać spełnione, aby administrator mógł zawrzeć z procesorem umowę o powierzenie przetwarzania danych. Nie oznacza to jednak, że procesor może zostać wybrany w sposób całkowicie dowolny, ponieważ priorytet nadal ma ochrona integralności i bezpieczeństwa danych osobowych. W jaki sposób zatem wybierać podmiot przetwarzający? Z pomocą przychodzi motyw 81 rozporządzenia RODO. Zgodnie z jego treścią administrator powinien wybierać wyłącznie podmioty, które zapewniają wystarczające gwarancje, w szczególności, jeżeli chodzi o:
- wiedzę fachową;
- wiarygodność;
- zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymaganiom dotyczącym bezpieczeństwa.
W szczególności chodzi o stosowanie przez podmiot przetwarzający zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji (sposobach przetwarzania danych lub innego instrumentu prawnego przez podmioty przetwarzające). Ważne jest, aby warunki współpracy stron były uregulowane umową lub innym instrumentem prawnym, który podlega prawu Unii Europejskiej lub państwa członkowskiego (niekoniecznie prawa państwa, z którego pochodzi administrator lub podmiot przetwarzający).
W praktyce wybierając podmioty, które podejmą się przetwarzania danych w imieniu administratora, warto zwracać uwagę np. na certyfikaty ISO w zakresie IT. To międzynarodowa klasyfikacja, wprowadzająca jednolite standardy zarządzania danymi. W szczególności szczególnie istotne będzie:
- ISO 27701 dotyczące ochrony prywatności oraz cyberbezpieczeństwa;
- ISO 20000 dotyczące jakości i bezpieczeństwa świadczonych usług;
- ISO 27001 dotyczące zarządzania bezpieczeństwem informacji.
Innymi standardami, które wzmacniają gwarancje bezpieczeństwa, jest np. kodeks postępowania ITIL (ang. IT Infrastructure Library), IEC 62443 regulujące cyberbezpieczeństwo sieci przemysłowych czy ETSI EN 303 645 poświęcone internetowi rzeczy.
Czy posiadanie przez procesora wspomnianych wyżej certyfikatów stanowi gwarancję, że przetwarzanie przez niego danych osobowych będzie realizowane zgodnie z przepisami RODO? Z pewnością nie, ale pozwala administratorowi odwołać się do zasady rozliczalności w razie incydentu lub kontroli organu nadzorczego. To z kolei minimalizuje ryzyko ewentualnej sankcji.
Jakie elementy powinny znaleźć się w umowie z procesorem?

Wspomniany już wcześniej motyw 81 oraz art. 28 ust. 3 RODO wymienia szereg elementów, które powinny znaleźć się w umowie z procesorem. Należy do nich zaliczyć przede wszystkim:
- wskazanie, że przetwarzanie danych osobowych następuje na udokumentowane polecenia administratora, chyba że działanie wynika z prawa Unii Europejskiej lub prawa państwa członkowskiego, któremu podlega podmiot przetwarzający;
- zapewnienie, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu obowiązkowi ustawowemu w tym zakresie;
- podjęcia przez podmiot przetwarzający obowiązków związanych z zachowaniem bezpieczeństwa i integralności danych osobowych (czyli jakie działania wdraża, aby te dane były bezpieczne);
- zobowiązanie procesora, że w razie korzystania z usługi podpowierzenia podprocesor wypełnia niezbędne gwarancje bezpieczeństwa;
- oświadczenie procesora, że posiada on niezbędne środki techniczne oraz organizacyjne, aby wspierać administratora w realizacji jego obowiązków względem osób, których dane dotyczą (np. poprzez zawiadamianie o naruszeniach ich praw lub wolności);
- los danych osobowych po zakończeniu współpracy – w zależności od decyzji administratora dane te powinny zostać usunięte albo zwrócone z jednoczesnym skasowaniem wszystkich ich kopii, chyba że prawo Unii lub państwa członkowskiego nakazuje ich przechowywanie;
- obowiązek podmiotu przetwarzającego do udostępniania administratorowi wszelkich danych niezbędnych do realizacji obligacji ciążących na procesorze, a także umożliwienie przeprowadzenia audytu przez podmiot wytypowany przez administratora.
W umowie o powierzenie przetwarzania należy też precyzyjnie określić:
- podmioty ADO i procesora;
- zakres danych, cel ich przetwarzania oraz kategorie podmiotów, które mogą te operacje przeprowadzać;
- zasady kontroli działań procesora przez podmiot przetwarzający.
Oczywiście powyższe wyliczenie to jedynie niezbędne minimum treści. W praktyce warto zadbać m.in. o wprowadzenie takich elementów, jak:
- zakaz zawierania umów subprocessingu, chyba że administrator godzi się na taką ewentualność lub przynajmniej ograniczenie tej opcji poprzez wprowadzenie możliwości oceny przez administratora kompetencji podprocesora;
- kary umowne za niedochowanie obowiązków przez podmiot przetwarzający (bardzo ważne jest dokładne określenie jego obowiązków, np. poprzez wskazanie konkretnych procesów, standardów lub certyfikatów, które mają zostać wdrożone).
Choć unijny ustawodawca opracował zestaw standardowych klauzul dotyczących m.in. powierzenia przetwarzania danych osobowych, należy podchodzić do nich z dużą ostrożnością. Każdorazowo specyfika współpracy między administratorem a procesorem będzie wyglądała nieco inaczej, dlatego warto rozważyć przygotowanie takiej umowy kancelarii prawnej.
Jakie obowiązki spoczywają na podmiocie przetwarzającym dane osobowe?
Podmiot przetwarzający dane osobowe ma obowiązek stosować się nie tylko do wytycznych administratora, ale także przepisów RODO. Przede wszystkim podmiot przetwarzający musi zapewnić bezpieczeństwo przetwarzania danych w rozumieniu art. 32 RODO. Należy przy tym uwzględnić:
- stan wiedzy technicznej;
- koszt wdrożenia rozwiązania technicznego;
- charakter, kontekst i cele przetwarzania danych osobowych;
- ryzyko naruszenia praw i wolności osób fizycznych.
Do zalecanych przez unijnego ustawodawcę działań zalicza się pseudonimizację i szyfrowanie, zapewnienie poufności, integralności, odporności i dostępności swoich systemów oraz usług, a także zdolność do szybkie przywrócenia dostępności danych w razie incydentu. Ważne jest, aby podmiot przetwarzający regularnie testował, mierzył i oceniał skuteczność wdrożonych środków technicznych, ponieważ technologie (również te stosowane przez hakerów) stale się rozwijają.
Zgodnie z art. 28 ust. 4 RODO w sytuacji, kiedy podmiot przetwarzający przekazał czynności wynikające z umowy między nim a administratorem na osobę trzecią, podmiot ten staje się zobowiązany do przestrzegania odpowiednich standardów przetwarzania danych. W razie naruszenia swoich obowiązków przez „podprocesora” to pierwotny podmiot przetwarzający ponosi za niego odpowiedzialność.
Nie należy zapominać, że – zgodnie z art. 30 ust. 2 RODO – na podmiocie przetwarzającym spoczywa także obowiązek prowadzenia rejestru wszystkich kategorii czynności przetwarzania. Obejmują one takie informacje, jak:
- dane kontaktowe podmiot przetwarzającego oraz jego przedstawiciela, jeżeli został wyznaczony;
- kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
- informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej;
- opis technicznych i organizacyjnych środków bezpieczeństwa stosowanych przez podmiot przetwarzający.
Jak wygląda odpowiedzialność podmiotu przetwarzającego dane osobowe na zlecenie procesora?

Administrator ochrony danych nie ponosi odpowiedzialności za działania lub zaniechania podmiotu przetwarzającego, który ponosi odpowiedzialność samodzielnie. W przypadku sub-processingu zastosowanie znajdzie jednak art. 28 ust. 4 RODO in fine. Stanowi on, że w sytuacji, kiedy „ten inny podmiot przetwarzający” (czyli podprocesor) nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora spoczywa na pierwotnym podmiocie przetwarzającym. Co to oznacza w praktyce? Mianowicie, że podmiot przetwarzający – o ile w ogóle chce scedować ciążące na nim obowiązki – powinien to robić bardzo ostrożnie.
Odpowiedzialność cywilnoprawna podmiotu przetwarzającego wynika z art. 82 ust. 1 RODO i obejmuje zarówno szkodę majątkowo, jak i niemajątkową. Przepisy przewidują możliwość wyłączenia tej odpowiedzialności, ale procesor musi w tym celu wykazać, że w żaden sposób nie ponosi on winy za zdarzenie, które doprowadziło do powstania szkody. Jeżeli za powstanie szkody odpowiedzialnych jest kilka podmiotów przetwarzających, ich odpowiedzialność jest solidarna. Niezależnie od odpowiedzialności cywilnoprawnej na podmiot przetwarzający może zostać nałożona kara administracyjna, analogicznie jak na administratora.
W jaki sposób powinien postąpić podmiot przetwarzający w razie wykrycia incydentu naruszenia integralności danych osobowych?
Przetwarzając dane osobowe, procesor może być świadkiem ich naruszenia, np. wykradzenia bazy danych przez hakerów. Jak powinien zachować się procesor w takiej sytuacji? Czy uchybienie należy zgłaszać bezpośrednio organowi nadzorczemu?
Otóż, zgodnie z art. 33 ust. 2 RODO, podmiot przetwarzający niezwłocznie po stwierdzeniu naruszeniu ochrony danych osobowych zgłasza je administratorowi. Następnie to administrator przekazuje je – w odpowiednim terminie, organowi nadzorczemu. Dokonanie zgłoszenia przez procesora bezpośrednio do Prezesa UODO jest nieskuteczne i prowadzi do niepotrzebnego przedłużenia całej procedury, zwiększając ryzyko, że administrator nie będzie w stanie należycie zlikwidować luki i zarządzać incydentem. Ważne jest aby przed nawiązaniem współpracy administrator zatwierdził przyjętą przez podmiot przetwarzający procedurę oceny incydentów bezpieczeństwa.
Jeśli nie jesteś pewien, czy w przypadku Twojej działalności zawarcie umowy powierzenia jest niezbędne, a jeśli tak, jak taki kontrakt sformułować, zapraszamy do kontaktu. Kancelaria Prawna RPMS od wielu lat wspiera swoich klientów, wdrażając przepisy RODO oraz dbając o zgodność wewnętrznych procedur z obowiązującymi przepisami i wytycznymi Prezesa UODO. Nasi prawnicy zaproponują zindywidualizowane rozwiązanie dopasowane do konkretnych potrzeb.Pytania i odpowiedzi
O przeznaczeniu powierzonych danych osobowych decyduje administrator. Ma on prawo zażądać zwrotu danych lub ich usunięcia przez procesora. Prawo państwa członkowskiego może także obligować podmiot przetwarzający do przechowywania otrzymanych informacji.
Stosownie do brzmienia art. 28 ust. 9 RODO taka umowa powinna zostać zawarta w formie pisemnej, w tym w formie elektronicznej. Warto zwrócić przy tym uwagę na art. 781 k.c., zgodnie z którym do zachowania elektronicznej formy czynności prawnej wystarcza złożenie oświadczenia woli w postaci elektronicznej i opatrzenie go kwalifikowanym podpisem elektronicznym. Takie oświadczenie woli będzie równoznaczne w skutkach z formą pisemną. Jest to o tyle istotne, że ustawodawca dopuszcza możliwość współpracy stron bez konieczności ich fizycznego kontaktu. Niedochowanie formy pisemnej (elektronicznej) będzie skutkowało bezwzględną nieważnością czynności prawnej.
Nie ma takiej możliwości, ponieważ czynność mieści się poza kompetencjami IOD. Upoważnienie może zostać udzielone wyłącznie przez administratora ochrony danych.
Zaufali nam: