W ciągu ostatnich dwóch lat stosowania RODO zawieranie umów powierzenia przetwarzania danych osobowych stało się już niemal codziennością. W związku z tym na początku lipca 2021 r. Europejska Rada Ochrony Danych przyjęła wytyczne ws. pojęć administratora i podmiotu przetwarzającego (dostępne w języku angielskim tutaj).
Dbanie o legalność przetwarzania danych osobowych jest jednym z podstawowych obowiązków Administratora. Nierzadko przy przetwarzaniu korzysta on z usług innego podmiotu. Wówczas niezwykle istotne jest zidentyfikowanie relacji między administratorem a zewnętrznym podmiotem, a w sytuacji, kiedy stwierdzimy, że jest to konieczne – zawarcie umowy powierzenia przetwarzania danych osobowych. Jak zatem rozpoznać, czy w danej relacji dochodzi do powierzenia przetwarzania danych osobowych? Aby to wyjaśnić, skorzystajmy ze wspomnianych powyżej wytycznych: (i) procesor jest zewnętrznym w stosunku do administratora podmiotem, (ii) procesor przetwarza dane w imieniu administratorem, (iii) cel przetwarzania wyznaczony jest przez administratora, procesor realizuje cel administratora, (iv) procesor przetwarza zatem dane zgodnie z instrukcjami kontrolera.
Przykłady z praktyki
Kiedy mamy do czynienia z sytuacją powierzenia przetwarzania danych? Sztandarowym przykładem jest sytuacja powierzenia przetwarzania danych pracowników podmiotowi świadczącemu usługi księgowe w celu dokonywania rozliczeń. Wówczas biuro księgowe realizuje cel przetwarzania administratora jakim są obowiązki wynikające np. z kodeksu pracy i prawa podatkowego. Biuro księgowe nie ma w takim przypadku własnego celu przetwarzania danych przekazanych mu przez zewnętrznego przedsiębiorcę, a jedynie realizuje umowę łączącą go z tym podmiotem. Przedsiębiorca (który również jest pracodawcą) pełni w takiej relacji funkcję administratora danych swoich pracowników, zaś biuro księgowe pełni funkcję podmiotu przetwarzającego, czyli procesora.
Przejdźmy jednak do nieco bardziej skomplikowanej sytuacji jaką możemy zaobserwować w relacji z podmiotami świadczącymi usługi benefitowe (karty sportowe, opieka zdrowotna). W takich sytuacjach pracodawca zawiera umowę z dostawcą benefitów. Celem pracodawcy nie jest realizowanie świadczeń sportowych lub zdrowotnych pracowników. Dostawca benefitów ma swój własny cel przetwarzania danych jakim jest przetwarzanie danych w związku ze świadczeniem usług sportowych czy zdrowotnych. Pracodawca ma swoje własne cele wynikające z prowadzenia przedsiębiorstwa i zatrudniania pracowników. W takiej sytuacji mamy zatem dwóch administratorów danych osobowych: przedsiębiorca – w stosunku do swoich pracowników; dostawca benefitów – w stosunku do swoich klientów. Na rynku jednak rzadko kiedy możemy spotkać się z uregulowaniem relacji między podmiotami na zasadzie współadministrowania. W opisanej powyżej sytuacji to dostawca benefitów zleca przedsiębiorcy zbieranie w jego imieniu danych osobowych pracowników, którzy wyrażą chęć przystąpienia do programu benefitowego. Przedsiębiorca w takiej sytuacji pełni funkcję podmiotu przetwarzającego, a dostawca benefitów wciela się w rolę administratora danych. W konsekwencji procesor realizuje cel dostawcy benefitów jakim jest pozyskiwanie klientów. Nie jest to intuicyjne rozwiązanie, ale nie ulega wątpliwości, że póki co jest powszechnie spotykaną praktyką na rynku.
Czy zawsze potrzebujemy umowy powierzenia przetwarzania danych?
Jeżeli korzystamy z usług zewnętrznych podmiotów niemal na każdym kroku możemy spotkać się z praktyką zawierania umów powierzenia przetwarzania danych osobowych. Są one podsuwane jako standard, zabezpieczenie niemal do każdej umowy, a czasem wpisane są w treść regulaminów lub ogólnych warunków umów. Nie zawsze jednak zawarcie umowy powierzenia przetwarzania jest niezbędne, a czasem może ściągnąć na przedsiębiorcę dodatkowe obowiązki. W szczególności pamiętajmy, że nie ma potrzeby zawierania umowy w sytuacji, kiedy druga strona przekazuje nam dane kontaktowe swoich pracowników lub osób reprezentujących w celu realizacji umowy głównej. W takiej sytuacji nie dochodzi do powierzenia przetwarzania danych osobowych. Każda ze stron jest osobnym administratorem danych osobowych, a przekazanie danych osobowych osób kontaktowych mieści się w uzasadnionym interesie każdego z administratorów, polegającym na możliwości wykonania umowy – art. 6 ust. 1 lit. f RODO ( w niektórych przypadkach podstawą może być również art. 6 ust. 1 lit. b RODO). Umowa powierzenia przetwarzania nie będzie również konieczna w stosunkach z kurierami, którzy na podobnych zasadach jak Poczta Polska doręczają przesyłki.
Podsumowanie
Warto pamiętać, że zidentyfikowanie strony jako administratora powoduje, że jest ona odpowiedzialna za przetwarzanie danych dokonywane przez podmiot przetwarzający, zaś jeżeli z góry uznamy się za procesora – dajemy administratorowi prawo kontrolowania naszej działalności i przeprowadzania audytów. Zanim dojdzie do zawarcia umowy powierzenia przetwarzania danych osobowych przedsiębiorca powinien dokonać dokładnej analizy relacji między podmiotami.
