Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Podziel się...

Ochrona zabytków w...

02 Wrzesień 2020 
Ponad 4 mln zł przeznaczył samorząd województwa podkarpackiego na dotacje dla zabytków w...

Serwis e-budownictwo

02 Wrzesień 2020 
2 sierpnia 2020 r. ruszył serwis e-budownictwo (e-budownictwo.gunb.gov.pl).

Sprawozdanie z działalności...

02 Wrzesień 2020 
W sierpniu br. Krajowa Rada Regionalnych Izb Obrachunkowych przedstawiła „Sprawozdanie z...

Powierzenie przetwarzania danych wrażliwych w rodo

Data publikacji: 05-03-2018 Autor: Jakub Rzymowski
Tagi:    dane osobowe

Powierzenie przetwarzania danych jest w dzisiejszej rzeczywistości zjawiskiem częstym i normalnym. Jak powinno się odbywać przekazanie przetwarzania w myśl przepisów rozporządzenia o ochronie danych?

Od 25 maja 2018 r. mają być stosowane przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; dalej: rodo). W przepisach tego aktu prawnego uregulowano m.in. kwestie związane z powierzaniem przetwarzania danych osobowych, w tym danych wrażliwych.


Unijny prawodawca definiuje pojęcie szczególnych kategorii danych osobowych – czyli danych, które tradycyjnie jeszcze na gruncie dyrektywy 95/46/WE nazywane są danymi wrażliwymi – w art. 9 rodo. Podana tam definicja jest skonstruowana analogicznie do definicji znajdującej się w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: uodo). Kategorie danych, które należą do danych wrażliwych, są po prostu wymienione w przepisie. Należy jednak zwrócić uwagę na fakt, że katalog kategorii danych wrażliwych, wymienionych w art. 27 ust. 1 uodo, różni się od katalogu kategorii danych wymienionych w art. 9 rodo. Dane wrażliwe w rodo obejmują dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych. To także dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby fizycznej oraz dane genetyczne i dane biometryczne, o ile są używane do jednoznacznego zidentyfikowania osoby fizycznej.

Dopuszczalność powierzenia przetwarzania danych wrażliwych

Powierzenie przetwarzania danych osobowych uregulowane jest w art. 28 rodo. Z przepisu nie wynika, czy dotyczy on powierzenia przetwarzania wrażliwych danych osobowych czy danych osobowych zwykłych. Wnioskujemy z tego, że art. 28 rodo dotyczy przetwarzania wszystkich kategorii danych osobowych. W art. 4 pkt 8 rodo zdefiniowano podmiot przetwarzający, czyli podmiot, który przetwarza dane osobowe w imieniu administratora. Takim podmiotem może być osoba fizyczna lub prawna, organ publiczny, a także jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Przede wszystkim należy zwrócić uwagę na fakt, że powierzenie przetwarzania wrażliwych danych osobowych jest zgodne z rodo. Zakaz przetwarzania wrażliwych danych osobowych zawarty w art. 9 ust. 1 rodo nie dotyczy powierzenia przetwarzania takich danych. Zakaz dotyczy przetwarzania danych wrażliwych, czyli zgodnie z art. 4 pkt 2 rodo czynności wykonywanych na danych osobowych. Powierzenie przetwarzania danych osobowych to, zgodnie z art. 28 ust. 3 rodo, umowa lub inny instrument prawny, a skoro tak, to zakaz dotyczący czynności wykonywanych na danych nie dotyczy umów dotyczących wykonywania tych czynności. Powierzenie przetwarzania danych wrażliwych nie różni się od powierzenia przetwarzania danych zwykłych. Umowa powierzenia przetwarzania danych osobowych, co wynika z art. 28 ust. 9 rodo, powinna być zawarta na papierze i podpisana lub zawarta w formie dokumentu elektronicznego – podpisana podpisem elektronicznym kwalifikowanym.

Podpowierzenie przetwarzania danych wrażliwych

Kolejna sprawa, o której należy pamiętać, to problem podpowierzenia przetwarzania danych wrażliwych. Podpowierzenie, zgodnie z art. 28 ust. 2 rodo, jest dopuszczalne, o ile pisemną zgodę wyrazi na nie administrator danych osobowych (dalej: ADO). Ta zgoda musi mieć charakter uprzedni wobec podpowierzenia, czyli musi być zawarta wcześniej, niż dojdzie do podpowierzenia. Zgoda taka może być oczywiście częścią umowy powierzenia.

Zjawisko podpowierzenia zachodzi często w przypadku umów o hosting. Bywa tak, że przedsiębiorstwo, które oferuje usługę hostingu, samo nie jest właścicielem serwerów, na których fizycznie znajdują się hostowane dane, ale jest jedynie pośrednikiem. W takiej sytuacji ADO powierza przetwarzanie danych osobowych takiemu pośrednikowi, ten zaś podpowierza przetwarzanie danych właścicielowi serwerów.

Dwa rodzaje polecenia przetwarzania danych

Z art. 28 ust. 3 lit. a rodo wynika, że podmiot przetwarzający ma obowiązek przetwarzać dane osobowe wyłącznie na udokumentowane polecenie ADO. Zjawisko polecenia przetwarzania jest na gruncie rodo uregulowane niejasno. Do 25 maja 2018 r. nie będzie praktyki kontrolnej i orzecznictwa w zakresie rodo, jednak i tak należy się przygotować do realizacji obowiązków, również tych niejasno sformułowanych.

Obowiązek przetwarzania danych osobowych przez podmiot przetwarzający (dalej: PP) na polecenie ADO można próbować realizować przez zapisanie w umowie klauzuli, w której ADO poleca PP przetwarzanie danych osobowych. Rozwiązanie to nie jest jednak idealne, ponieważ umowa ma stanowić, że PP przetwarza dane osobowe na polecenie ADO, więc polecenie to powinno być czymś oddzielnym od umowy. Słów o udokumentowanym poleceniu ADO nie wolno lekceważyć, zwłaszcza w świetle wynikającej z art. 5 ust. 2 rodo zasady rozliczalności. Brak możliwości wykazania polecenia przetwarzania może skutkować odpowiedzialnością administracyjną za złamanie art. 28 ust. 3 lit. a rodo, ale i za złamanie art. 5 ust. 2 rodo, oraz oczywiście stosowną i bardzo prawdopodobną odpowiedzialnością cywilną.

[...]

Jakub Rzymowski
doktor nauk prawnych, adiunkt w Katedrze Europejskiego Prawa Gospodarczego Wydziału Prawa i Administracji Uniwersytetu Łódzkiego; współpracuje z kancelarią adwokacką – Eurokancelaria prof. Maria Królikowska-Olczak

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Spis treści Numer niedostępny Zamów prenumeratę

All rights reserved © 2019 Presscom / Miesięcznik Przetargi Publiczne