Zgodnie z definicją zawartą w Rozporządzeniu o Ochronie Danych Osobowych (RODO), które zaczęło obowiązywać od 25 maja 2018 roku za podmiot przetwarzający powierzone dane osobowe (Procesor) uznaje się: osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Procesor nie przetwarza danych dla swoich celów, wykonuje on jedynie zadanie zlecone mu przez administratora danych. Powierzenie przetwarzania danych osobowych przez administratora jest działaniem występującym powszechnie, szczególnie, że często naturalnym elementem obrotu gospodarczego jest korzystanie z tzw. usług outsourcingowych.
Zanim jednak dojdzie do przetwarzania danych osobowych przez podmiot przetwarzający, musi zostać zawarta umowa powierzenia przetwarzania danych. Niezbędne jej elementy to: określenie przedmiotu, czas trwania umowy, charakter i cel przetwarzania, oznaczenie obowiązków i praw administratora, a także rodzajów danych osobowych oraz kategorii osób, których dane te dotyczą. Może też zaistnieć jakiś inny instrument prawny, który podlega prawu Unii lub prawu państwa członkowskiego.
RODO wymaga, aby administrator powierzał przetwarzanie danych osobowych wyłącznie takim podmiotom, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, dzięki którym przetwarzanie będzie zgodne z przepisami rozporządzenia i będzie chroniło prawa osób, których dotyczą dane. W praktyce administrator danych, na żądanie organu nadzorczego, będzie musiał udowodnić, że podmiot przetwarzający, z którego usług korzysta, spełnia te wymagania.
RODO wymaga od Procesora zaangażowania w ochronę praw osoby, której dane dotyczą i przestrzegania Rozporządzenia. W tekście aktu wskazane są następujące obowiązki:
1. Procesor przetwarza wyłącznie na polecenie administratora
Procesor nie jest więc „właścicielem” danych. Regulacja ta dotyczy również przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający (w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny).
2. Informowanie i zgoda administratora danych na skorzystanie z dalszego powierzenia danych do przetwarzania osobie trzeciej
Zgodnie z treścią Rozporządzenia, jeżeli podmiot przetwarzający zamierza korzystać z pomocy podwykonawców przy przetwarzaniu powierzonych mu danych osobowych to musi on za każdym razem, poinformować o tym administratora danych i uzyskać jego zgodę. Innym rozwiązaniem może być też ustalenie już w umowie z administratorem danych, że zgadza się on (wyraża zgodę) na to, by Procesor korzystał z usług innych podmiotów, w tym wypadku podwykonawców. Taki zapis będzie ważny tylko wtedy, gdy administrator danych będzie o tym informowany z wyprzedzeniem, po to by miał możliwość ewentualnego sprzeciwu, co do skorzystania z pomocy konkretnego podwykonawcy.
3. Obowiązkowe wyznaczenie przedstawiciela
W przypadku, gdy procesor nie posiada jednostki organizacyjnej w Unii Europejskiej, która przetwarza dane osobowe osób, których dane dotyczą, znajdujących się w Unii Europejskiej, a jego czynności przetwarzania wiążą się głównie z oferowaniem towarów lub usług tym osobom lub z monitorowaniem ich zachowania, to zgodnie z RODO, taki podmiot przetwarzający powinien wyznaczyć swojego przedstawiciela. Obowiązek ten nie ma zastosowania, gdy przetwarzanie ma charakter sporadyczny, nie obejmuje – na dużą skalę – przetwarzania szczególnych kategorii danych osobowych, ani przetwarzania danych osobowych dotyczących wyroków skazujących i naruszeń prawa. Musi nadto istnieć małe prawdopodobieństwo, aby ze względu na swój charakter, kontekst, zakres i cele, przetwarzanie powodowało ryzyko naruszenia praw lub wolności osób fizycznych. Regulacja ta odnosi się zarówno do administratora, jak i podmiotu przetwarzającego.
4. Pomoc dla administratora
Podmiot przetwarzający pomaga administratorowi, przez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw na przykład: sprostowania, usunięcia danych, ograniczenia przetwarzania, przenoszenia danych. W razie potrzeby i na żądanie administratora podmiot przetwarzający powinien pomagać w zapewnieniu przestrzegania obowiązków wynikających z dokonania oceny skutków przetwarzania dla ochrony danych.
5. Wyznaczenie inspektora danych osobowych
Zgodnie z art. 37 RODO, w niektórych przypadkach wyznaczenie IDO jest obligatoryjne, zarówno dla administratora jak i Procesora. Mogą jednak wystąpić sytuacje, kiedy administrator nie będzie zobowiązany do wyznaczenia DPO, natomiast obowiązek taki będzie ciążył na podmiocie przetwarzającym. Unijna Grupa Robocza art. 29 udzielająca opinii w ważnych sprawach dotyczących ochrony danych osobowych, opisuje sytuację, w której mała, rodzinna firma dystrybuuje artykuły gospodarstwa domowego na terenie jednego miasta. Rodzina korzysta z usług Procesora, którego podstawowa działalność polega na świadczeniu usług analityki internetowej i pomocy w ukierunkowanej reklamie i marketingu. Działalność firmy rodzinnej, biorąc pod uwagę niewielką liczbę klientów i stosunkowo ograniczone działania, nie spowoduje obowiązku wyznaczania IDO. Jednakże działania podmiotu przetwarzającego, posiadającego wielu klientów takich jak to małe przedsiębiorstwo, kwalifikuje się jako przetwarzanie „na dużą skalę”. W związku z tym podmiot przetwarzający, w przeciwieństwie do lokalnego przedsiębiorstwa, zobowiązany będzie do wyznaczenia inspektora ochrony danych.
6. Współpraca z organem nadzoru
Zarówno administrator jak i podmiot przetwarzający, mają obowiązek współpracować z organem nadzorczym w ramach wykonywania swoich zadań. Rozporządzenie nie formułuje jednak żadnych konkretnych przykładów tej współpracy. Wiązać się to może na przykład z wglądem w dokumenty, czy składaniem stosownych wyjaśnień. Oprócz tego, w sprawach dotyczących transgranicznego przetwarzania danych Procesor ma obowiązek komunikować się jedynie z wiodącym organem nadzorczym, wybranym przez administratora.
7. Zapewnienie o zachowaniu tajemnicy przez osoby upoważnione
Procesor musi zapewnić by osoby, które zostały upoważnione do przetwarzania powierzonych danych osobowych, zachowały je w tajemnicy.
Zdaniem autora
Ile odpowiedzialności – Artur Piechocki, radca prawny w kancelarii APLaw
Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem, gdy nie dopełnił obowiązków wskazanych w RODO lub, gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. Zwolnienie z odpowiedzialności może nastąpić tylko wtedy, gdy Procesor udowodni, że nie ponosi winy za zdarzenie. W przypadku choćby pośredniego przyczynienia się do zdarzenia, Procesor nie będzie miał możliwości zwolnienia się z odpowiedzialności.
Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator jak i podmiot przetwarzający, ponoszą oni odpowiedzialność solidarną za całą szkodę.
Opracowanie: Jerzy Kowalski (RP).