Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Podziel się...

Ankieta dotycząca JEDZ

04 Wrzesień 2019 
Komisja Europejska prowadzi badanie dotyczące satysfakcji użytkowania elektronicznego...

Ogólnopolski Szczyt...

04 Wrzesień 2019 
Jako patron medialny wraz z organizatorem – Europejskim Centrum Biznesu zapraszamy do...

Wykonawcy z państw trzecich a...

04 Wrzesień 2019 
W dniu 24 lipca 2019 r. Komisja Europejska opublikowała wytyczne dotyczące udziału...

Umowy powierzenia przetwarzania

Data publikacji: 04-01-2019 Autor: Krzysztof Wygoda

Choć problematyka powierzenia przetwarzania danych była już przedmiotem wielu analiz, to nadal kwestia ta budzi kontrowersje, a praktyczne użycie instytucji powierzenia po 25 maja 2018 r. zaowocowało wieloma mitami i nadużyciami.

 

Trudno odnieść się do wszystkich budzących wątpliwości kwestii stosowania art. 28 rodo, niemniej jednak warto poruszyć kilka problemów, by wspomóc zarówno administratorów niemających pewności odnośnie do stosowania owego przepisu, jak i podmioty spotykające się z nieuzasadnionymi żądaniami podpisania umowy powierzenia w sytuacjach, w których mamy do czynienia jedynie z uprawnionym przekazaniem danych niezależnemu administratorowi.

Problem nadużywania powierzenia

Można uznać, że obecne nadużywanie powierzenia (szczególnie w ramach umów) wydaje się wynikać z wcześniejszego marginalizowania lub wręcz ignorowania tej instytucji na gruncie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: uodo z 1997 r.). Taki stan rzeczy doprowadził do sytuacji, w której po stronie administratorów brakuje zrozumienia różnic pomiędzy powierzeniem przetwarzania a przekazaniem danych opartym na przesłankach wynikających z art. 6 i 9 rodo. W pewnym zakresie jest to wynikiem braku przygotowania samych administratorów, ale nie mniej ważna jest kwestia formalnego uznawania za administratorów podmiotów, których pozycja zasługuje najwyżej na traktowanie ich jako współadministratorów. Omówienie tego problemu, jak również przypadku podmiotów nieposiadających wystarczającej samodzielności decyzyjnej, by być traktowanymi jako administratorzy danych, wymaga jednak odrębnego podejścia.

Wprowadzenie przez art. 28 ust. 3 rodo nowej formy węzła łączącego administratora z podmiotem przetwarzającym, jakim jest inny niż umowa instrument prawny, który podlega prawu UE lub prawu państwa członkowskiego i wiąże obie strony powierzenia, dodatkowo utrudnia prawidłowe budowanie relacji administrator – podmiot przetwarzający. Dzieje się tak m.in. dlatego, że istniejące obecnie instrumenty prawne nadające się do uznania za właściwe są najczęściej dotknięte jakimiś wadami. Ujawniają się one już po pobieżnym porównaniu ich treści z wymogami rodo, które również w ich przypadku wymaga, by na poziomie podstawowym określały przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Pełna ich treść ma oczywiście obejmować te same zagadnienia co umowa powierzenia, a więc uwzględniać wszystkie niezbędne elementy wskazane w art. 28 ust. 3 lit. a–h rodo.

Warunki te mogą być de facto spełnione, jeśli uznamy możliwość tworzenia złożonych instrumentów prawnych, z których jeden element określa warunki podstawowe (nawet w niepełnym zakresie), a kolejne dookreślają pozostałe treści.

W obecnym stanie rzeczy założenia te nie przystają do wieloletniej praktyki zbudowanej w warunkach funkcjonowania uodo z 1997 r. niedopuszczającej innej formy powierzenia niż umowna. Doprowadziła ona do wypracowania wzorca, w którym ogólna zazwyczaj norma wymuszająca ustanowienie relacji administrator danych–podmiot przetwarzający była, niejako obligatoryjnie, uzupełniana postanowieniami umów powierzenia zawieranych pomiędzy tymi podmiotami. W okresie przejściowym, czyli od 24 maja 2016 r. do 25 maja 2018 r., można było ów stan zmienić i wydać nowe akty pozwalające funkcjonować w ramach nowej, czystej modelowo, podstawy wynikającej z założeń rodo, najczęściej tak się jednak nie stało (nic oczywiście nie stoi na przeszkodzie, by stan ów zmienić przy najbliższej okazji).

Ograniczenia instrumentu prawnego

Być może jedną z przyczyn niepodejmowania dotychczas stosownych działań było to, że modelowa konstrukcja złożonego instrumentu prawnego stosowanego zamiast umowy ma jednak poważne ograniczenie. Należy podkreślić, przyjmując za punkt wyjścia treść rodo, że wszystkie składniki instrumentu prawnego muszą wiązać zarówno administratora, jak i podmiot lub podmioty przetwarzające. Typowym przykładem takiego instrumentu złożonego mogłaby być zatem dość ogólna uchwała organu stanowiącego samorządu terytorialnego (zawierająca jednak m.in. upoważnienie do dookreślenia przez organ wykonawczy szczegółowych warunków powierzenia) i uzupełniające treści stosunku powierzenia zarządzenia organu wykonawczego. Istniejące obecnie uchwały najczęściej wymagałyby zatem uzupełnienia ich treści w obudowujących je aktach wykonawczych (choćby o charakterze wewnętrznie obowiązującym, wiążącym jednostki organizacyjne korzystające np. z centrum usług wspólnych – CUW). Niestety, uchwały te, nie zawierając jednak norm delegujących na organy wykonawcze określenie szczegółowego zakresu powierzenia w akcie ustanawianym przez te podmioty, uniemożliwiają takie rozwiązanie.

Należy bowiem zakładać, że bez stosownej delegacji organy stanowiące nie mają możliwości podejmowania działań prawotwórczych w tym zakresie.
 

[...]

 

Krzysztof Wygoda
doktor prawa; pracownik Wydziału Prawa, Administracji i Ekonomii Uniwersytetu Wrocławskiego

Artykuł pochodzi z miesięcznika: Przetargi Publiczne

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

All rights reserved © 2019 Presscom / Miesięcznik Przetargi Publiczne