Outsourcing danych osobowych w zgodzie z RODO - część I

Sytuacja przedsiębiorstw powierzających przetwarzanie danych osobowych innym podmiotom ulegnie diametralnej zmianie po wejściu w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne Rozporządzenie o ochronie danych) z dnia 27 kwietnia 2016 r. (Dz.Urz.WU.L Nr 119, str. 1), zwanego dalej „RODO”.

Już od dnia wejścia w życie RODO, a więc od dnia 25 maja 2018 r., przedsiębiorstwa decydujące się na powierzanie przetwarzania danych osobowych firmom outsourcingowym będą musiały legitymować się odpowiednio dostosowanymi procedurami w tym zakresie.

Kiedy dochodzi do powierzenia przetwarzania danych osobowych?

Z powierzeniem przetwarzania danych osobowych przez administratorów danych (przedsiębiorstwa powierzające przetwarzanie danych osobowych) swoim kontrahentom mamy do czynienia w sytuacjach, w których przekazują oni swoim biznesowym partnerom do przetwarzania dane osobowe w ramach zlecania im czynności takich jak m.in.:

• doradztwo personalne,
• obsługa kadrowa,
• obsługa płacowa,
• rekrutacja,
• obsługa informatyczna,
• obsługa marketingowa,
• obsługa prawna,
• usługi archiwistyki i niszczenia dokumentacji.

Jak pokazuje powyższe (przykładowe) wyliczenie, większość dostawców usług może nie zdawać sobie sprawy z faktu, że w ramach swojej działalności, uzyskując dostęp do danych osobowych swojego zleceniodawcy, powinna przestrzegać odpowiednich przepisów dotyczących ochrony danych osobowych. Co istotne, odpowiedzialność prawna nie leży wyłącznie po stronie zleceniobiorców – również podmioty zlecające (Administratorzy danych, outsourcujący przetwarzanie danych osobowych), a także podmioty, których dane osobowe są przetwarzane są narażone na sankcje prawne związane z niezgodnym z prawem przetwarzaniem danych osobowych.

O ile w sytuacji, w której procedury powierzania danych osobowych wprowadzone ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zwaną dalej „uodo”, skonstruowane zostały w sposób bardzo ogólny (przepisem, który reguluje tą kwestię jest wyłącznie art. 31 uodo, zgodnie z którym „Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych”), tak przepisy RODO wprowadzają istotne zmiany w zakresie powierzania przetwarzania danych osobowych.

Zasadą, wokół której zbudowana została procedura dotycząca powierzania, jest zasada, zgodnie z którą podmioty zlecające przetwarzanie danych osobowych będą miały prawo do korzystania z usług podmiotów, które zapewnią, że realizowane przez nie procesy przetwarzania danych osobowych będą zgodne z aktualnie obowiązującymi przepisami prawa, w tym w szczególności RODO. Kluczowym przepisem zaś będzie art. 28 RODO, który wyznacza zakres nowych wymagań dotyczących zasad współpracy Administratorów danych z podmiotami przetwarzającymi (procesorami), którym zlecone zostały zadania związane z przetwarzaniem danych osobowych.

Zasady dotyczące powierzania przetwarzania danych osobowych po 25 maja 2018 r.

Jedną z najistotniejszych zmian w zakresie współpracy administratora danych z podmiotem, któremu zostało powierzone przetwarzanie danych osobowych (procesorem) jest uzależnienie możliwości powierzenia przetwarzania danych osobowych takiemu podmiotowi, pod warunkiem zapewnienia przez taki podmiot wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, tak by przetwarzanie było zgodne z wymogami przewidzianymi w RODO a także chroniło prawa osób, których dane dotyczą. Zagadnienia te zostały uregulowane w art. 28 RODO, jednak nie są one jedynymi, na bazie których od 25 maja 2018 r. będzie opierał się outsourcing danych osobowych.

Zatwierdzone kodeksy postępowania i mechanizmy certyfikacji.

Choć RODO nie wprowadza rewolucyjnych zmian w odniesieniu do ogólnych zasad przetwarzania danych, to jedną z kluczowych zmian które przewiduje RODO jest wprowadzenie zasady rozliczalności. Zasada ta ma szczególny charakter ponieważ ma zastosowanie do wszystkich innych zasad przetwarzania danych osobowych zawartych w RODO. W nowej rzeczywistości prawnej Administrator danych będzie zobowiązany do wykazania, że podejmowane przez niego działania są zgodne z RODO i zasadami w nim określonymi.

W celu wykazania zgodności działań podejmowanych w przedmiocie przetwarzania danych osobowych, RODO przewiduje możliwość posługiwania się zatwierdzonymi kodeksami postępowania czy zatwierdzoną certyfikacją. Przedmiotowe dokumenty/procedury stanowią bowiem istotne wskazówki co do tego, jak wdrożyć odpowiednie środki oraz wykazać przestrzeganie prawa przez administratora lub podmiot przetwarzający dane - w szczególności jeżeli chodzi o identyfikowanie ryzyka związanego z przetwarzaniem, o jego ocenę pod kątem źródła, charakteru, prawdopodobieństwa i wagi zagrożenia oraz o najlepsze praktyki pozwalające zminimalizować to ryzyko.

Szczególnie istotne jest stosowanie przez podmiot przetwarzający zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji, dzięki którym może wykazać, że w sposób zgodny z RODO wywiązuje się z obowiązków administratora. Poza ułatwieniem wywiązania się z obowiązku rozliczalności, posiadanie kodeksów postepowania i mechanizmów certyfikacji może okazać się istotne, w sytuacji, w której będziemy chcieli wykazać, że jako Administrator wywiązujemy się z obowiązków określonych m.in. w art. 24 RODO. Wprowadzenie w życie tego rodzaju rozwiązań będzie niezwykle istotne jeżeli chodzi o wykazanie gwarancji w relacji do podmiotów przetwarzających dane na podstawie umowy/instrumentu prawnego określającego warunki powierzenia, o których szerzej mowa poniżej. Ostatnim argumentem za skonstruowaniem i zatwierdzeniem kodeksu postepowania niech będzie fakt, że instytucja nadzorująca przestrzeganie przepisów RODO (zgodnie z projektem ustawy Prezes Urzędu Ochrony Danych Osobowych) przy wymierzaniu, zgodnie z art. 83 RODO, kary pieniężnej, będzie zobowiązana do brania pod uwagę faktu posługiwania się kodeksem postepowania przez karany podmiot.

Z praktycznego punktu widzenia stworzenie kodeksu postępowania,
bez odpowiedniego zatwierdzenia przez instytucję nadzorującą (aktualnie GIODO) nie będzie miało większego sensu. Bowiem dopiero po przedłożeniu do akceptacji i zaakceptowaniu kodeksu przez instytucje nadzorującą (aktualnie GIODO) taki kodeks uzyskuje status kodeksu obowiązującego
i ważnego. Tak więc przedsiębiorcy lub, zgodnie z RODO, zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające, dla własnego bezpieczeństwa prawnego powinny przygotować kodeksy postępowania oraz realnie z nich korzystać, jako z narzędzia zabezpieczającego ich interesy na forum ochrony danych osobowych.

Należy podkreślić, że kodeksy postępowania dotyczące czynności przetwarzania mogą dotyczyć czynności prowadzonych w Polsce lub prowadzonych w kilku państwach członkowskich. W odniesieniu do czynności przetwarzania prowadzonych w Polsce, instytucją zatwierdzającą przedłożony projekt kodeksu postępowania będzie instytucja nadzorująca (aktualnie GIODO), natomiast w odniesieniu do czynności przetwarzania prowadzonych w kilku państwach członkowskich instytucją zatwierdzającą projekt będzie Europejska Rada Ochrony Danych. Jednak procedura zatwierdzenia, o której mowa powyżej nie stanowi końca procesu na poziomie europejskim. Zatwierdzony przez Radę projekt kodeksu postępowania zostaje następnie przedłożony Komisji Europejskiej, która może, w drodze aktów wykonawczych, stwierdzić, że zatwierdzone kodeksy postepowania są powszechnie obowiązujące w Unii Europejskiej. Jest to więc istotny wymóg z punktu widzenia projektowania odpowiednich kodeksów postępowania. W szczególności projektując tego rodzaju dokumenty zarówno na poziomie krajowym, jak i europejskim należy mieć na uwadze czas potrzebny na ich akceptację przez odpowiednie instytucje nadzorujące. W celu ograniczenia - tak cennego z punktu widzenia biznesowego - czasu na wdrożenie kodeksów postepowania, wszystkie podmioty zainteresowane stworzeniem takiego dokumentu powinny ocenić własne możliwości stworzenia tego rodzaju dokumentów, a w razie wątpliwości powierzyć ich stworzenie specjalistom zajmującym się tego rodzaju działalnością.

Autor: Karol Warzecki, Senior Associate w Deloitte Legal