Outsourcing danych osobowych w zgodzie z RODO - część III

Sytuacja przedsiębiorstw powierzających przetwarzanie danych osobowych innym podmiotom ulegnie diametralnej zmianie po wejściu w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne Rozporządzenie o ochronie danych) z dnia 27 kwietnia 2016 r. (Dz.Urz.WU.L Nr 119, str. 1), zwanego dalej „RODO”.

Już od dnia wejścia w życie RODO, a więc od dnia 25 maja 2018 r., przedsiębiorstwa decydujące się na powierzanie przetwarzania danych osobowych firmom outsourcingowym będą musiały legitymować się odpowiednio dostosowanymi procedurami w tym zakresie.

Zabezpieczenie się na wypadek podpowierzenia

Istotną z punktu widzenia praw osób, których dane osobowe podlegają przetwarzaniu jest instytucja podpowierzenia. Ustawa o ochronie danych osobowych (uodo), w przeciwieństwie do RODO, nie reguluje kwestii związanych z instytucja podpowierzenia danych osobowych. Z podpowierzeniem danych osobowych mamy do czynienia w sytuacji, w której podmiot przetwarzający dane osobowe przekazane przez Administratora korzysta z usług innych podmiotów (swoich podwykonawców), przy założeniu, że ci podwykonawcy uzyskują dostęp do danych osobowych.

Zgodnie z art. 28 ust. 2 RODO „Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.”

Tak więc powierzając przetwarzanie danych podmiotowi przetwarzającemu należy zabezpieczyć się na wypadek podpowierzenia tego rodzaju działalności innym podmiotom. Wobec tego w umowie powierzenia należy zawrzeć następujące klauzule:

• W sytuacji, w której podmiot przetwarzający zamierza korzystać z podwykonawców w zakresie przetwarzania danych, musi poinformować o tym Administratora danych. Sama informacja jednak nie wystarczy. Konieczne będzie uzyskanie zgody na podpowierzenie i taka zgoda będzie musiała zostać wyrażona na konkretnego podwykonawcę.
• Wskazującą, że Administrator danych wyraża zgodę na podpowierzanie przetwarzania danych osobowych jedynie w sytuacji, w której Administrator danych uzyska informację o takim zamiarze podmiotu przetwarzającego z odpowiednim wyprzedzeniem, pozwalającym na wyrażenie ewentualnego sprzeciwu co do korzystania z usług konkretnego podwykonawcy.

Szczególnie w zakresie przykładu klauzuli drugiej należy wskazać, że w przypadku braku podjęcia kroków przez Administratora polegających na sprzeciwie wobec chęci podpowierzenia przez podmiot przetwarzający, ten podmiot będzie mógł powierzyć przetwarzanie danych osobowych takiemu podwykonawcy.

Korzystanie z usług podmiotów przesyłających dane poza UE

Przekazanie danych do państwa trzeciego może nastąpić, o ile Komisja Europejska zaliczy dane państwo do państw zapewniających odpowiedni poziom ochrony.

W pozostałych przypadkach dla legalnego przekazania danych do państwa trzeciego konieczne jest zapewnienie odpowiednich zabezpieczeń w postaci:

• Wiążących reguł korporacyjnych;
• Standardowych klauzul ochrony danych przyjętych przez Komisję;
• Zatwierdzonych kodeksów postępowania lub mechanizmów certyfikacyjnych.

Takie przekazanie możliwe jest też za zgodą osoby, której dane dotyczą i jest niezbędne do wykonania umowy lub ustalenia, dochodzenia lub ochrony roszczeń.

Administratorzy danych outsourcujący przetwarzanie danych osobowych innym podmiotom mogą korzystać z usług podmiotów przesyłających dane poza UE.

W takim przypadku podwykonawca mający siedzibę poza terytorium UE zobowiązany jest przestrzegać przepisów RODO w zakresie zarzadzania danymi osobowymi. Posługując się przykładem podwykonawcy mającego siedzibę w USA, będzie on zobowiązany do przestrzegania RODO, jak również przepisów Privacy Shield (Porozumiena Safe Harbour).

Podmiot przetwarzający, z którego usług korzysta Administrator danych, w sytuacji, w której przesyła dane poza UE (podpowierza dane osobowe podmiotom mającym siedzibę poza UE), musi zapewnić zgodność przetwarzania danych osobowych przez takie podmioty mające siedzibę poza UE z przepisami RODO. Kluczowym aspektem jest fakt, że w przypadku transferu danych osobowych do państwa trzeciego znajdującego się poza strukturami UE, decydujące znaczenie będzie miało zapewnienie odpowiedniego poziomu ochrony przekazywanych danych.

Podsumowując więc, taki podmiot działający poza terytorium UE, musi zapewnić, w stosunku do danych pochodzących z UE, gwarancje bezpieczeństwa wynikające z RODO. Zasadnicza jest tu rola podmiotów działających w UE, dokonujących dalszego powierzenia danych osobowych podmiotom spoza UE, które przed powierzeniem muszą zapewnić, że takie podmioty będą przetwarzać powierzane dane osobowe zgodnie z RODO.

Autor: Karol Warzecki, Senior Associate w Deloitte Legal