Kontakt
Tomasz Pleśniak

radca prawny
Senior Associate
Phone: +48 71 60 60 413
E-Mail

Cyber bezpieczeństwo

Przedsiębiorca, jako administrator danych osobowych nierzadko przekazuje dane osobowe dostawcom z różnych branż, którzy stają się w ten sposób podmiotami przetwarzającymi. Od tego, w jaki sposób wybierani będą dostawcy usług oraz w jaki sposób sformułowane zostaną umowy powierzenia danych zależeć będzie nie tylko bezpieczeństwo przetwarzania danych, lecz również zgodność działań przedsiębiorcy z wytycznymi RODO. Kary administracyjne za niedopełnienie obowiązków związanych z przetwarzaniem (w tym przekazywaniem) danych osobowych mogą być dla przedsiębiorców bardzo dotkliwe.

Przykładem takiej sytuacji jest zawarcie umowy o prowadzenie kadr, czy ksiąg finansowych z firmą outsourcingową, gdzie występuje tzw. powierzenie przetwarzania danych osobowych. RODO definiuje pojęcie podmiotu przetwarzającego, jako: osobę fizyczną lub prawną, a nawet organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu przedsiębiorcy. W momencie, kiedy administrator przekazuje temu podmiotowi dane, następuje ich powierzenie, a to z kolei wiąże się z dwoma istotnymi obowiązkami po stronie administratora (przedsiębiorcy powierzającego).

Obowiązki administratora danych

Pierwszym, wzbudzającym najwięcej kontrowersji obowiązkiem jest wybór podmiotów przetwarzających, które zapewniają wystarczające gwarancje przestrzegania wymogów RODO i chronią prawa osób, których dane dotyczą. To administrator musi samodzielnie ocenić, czy wybrany przez niego dostawca usług dysponuje koniecznymi w tym celu środkami technicznymi i organizacyjnymi.

W jaki sposób przedsiębiorca miałby weryfikować dostawców czy potencjalnych kontrahentów pod kątem spełniania powyższych przesłanek? RODO w pierwszej kolejności sugeruje przeprowadzenie „audytów, w tym inspekcji” przez administratora danych bądź „upoważnionego przez niego audytora”. Rozwiązanie to może okazać się nieefektywne, szczególnie w przypadku gdy przedsiębiorca korzysta ze wsparcia wielu dostawców usług outsourcingowych. 

Inicjatywę może przejąć także podmiot przetwarzający poprzez wykazanie, że przestrzega zasad zatwierdzonego kodeksu branżowego bądź też przez uzyskanie stosownego certyfikatu w zakresie prawidłowości przetwarzania danych. Póki co, polskie przepisy nie przewidują żadnego systemu certyfikacji w zakresie ochrony i przetwarzania danych osobowych. Niemniej  RODO i przepisy projektu nowej ustawy o ochronie danych osobowych przewidują wprowadzenie mechanizmu certyfikacji. Rödl & Partner wspólnie z Cybercom Poland i Polskim Centrum Badań i Certyfikacji przygotowują się do sprostania wyzwaniom nowych regulacji dotyczących certyfikacji, aby uzyskać uprawnienia do nadawania certyfikatów (o czym można przeczytać, m.in. pod poniższym linkiem http://www.rp.pl/W-kancelariach/171219779-Rodl--Partner-wspolpracuje-przy-certyfikacji-firm-w-zakresie-ochrony-danych-osobowych.html). 

Do czasu wejścia w życie nowej ustawy o ochronie danych osobowych przedsiębiorcom przetwarzającym dane oraz administratorom pozostaje stosowanie doraźnych środków, np. uzyskanie opinii niezależnego eksperta i okazywanie jej kontrahentom przed zawarciem umowy, względnie umożliwianie im przeprowadzania audytów ochrony danych (przy czym wszystkie te zasady powinny zostać uregulowane w stosownej umowie). Dobrą praktyką powinno być wprowadzenie zasad (wewnętrznych procedur) wyboru kluczowych dostawców, w ramach których zweryfikować będzie można kwestie ochrony i przetwarzania danych osobowych.

Umowa powierzenia przetwarzania danych

Powierzenie przetwarzania danych wiąże się także z obowiązkiem zawarcia stosownej umowy, która określi przedmiot, czas trwania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których one dotyczą, jak również obowiązki i prawa administratora. Nie jest to nowość, ponieważ obecnie obowiązująca ustawa o ochronie danych osobowych przewiduje obowiązek zawarcia umowy o powierzeniu przetwarzania danych w formie pisemnej, nie zawiera jednak tak szczegółowych regulacji w zakresie wymaganej treści umowy.

Zgodnie z wymogami RODO, umowa powierzenia przetwarzania danych osobowych musi w szczególności określać, że podmiot przetwarzający:

  • przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora,
  • zapewnia, by osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy,
  • podejmuje wszelkie środki zapewniające bezpieczeństwo przetwarzania,
  • przestrzega warunków korzystania z usług innego podmiotu przetwarzającego (określonych w RODO),
  • w miarę możliwości pomaga administratorowi (za pomocą odpowiednich środków technicznych i organizacyjnych) wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w RODO (np. prawo do bycia zapomnianym,  przenoszenia danych),
  • pomaga administratorowi wywiązać się z powinności dotyczących bezpieczeństwa przetwarzania, zgłaszania naruszeń, oceny skutków dla ochrony danych i uprzednich konsultacji,
  • po zakończeniu świadczenia usług związanych z przetwarzaniem, zależnie od decyzji administratora, usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa ich istniejące kopie, chyba że prawo UE lub prawo państwa członkowskiego nakazuje przechowywanie danych,
  • udostępnia administratorowi informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów(w tym inspekcji) i przyczynia się do nich.

Należyte wykonanie powyższych obowiązków strony mogą obwarować w treści umowy stosownymi karami umownymi lub innymi środkami mającymi na celu przymuszenie do wykonania obowiązków. Obecnie wprowadzanie postanowień umownych, które zawierają klauzule o podobnym lub zbliżonym zakresie jak przepisy RODO nie jest standardem. Kwestie te będą regulowane w każdym przypadku indywidualnie, z uwzględnieniem pozycji przedsiębiorstw na rynku, rozmiaru prowadzonej działalności czy branży, w jakiej funkcjonują.

Standardowe klauzule umowne i dobre praktyki

Należy wspomnieć, że Komisja Europejska, a także organ nadzorczy (docelowo Prezes Urzędu Ochrony Danych Osobowych) będą mogły przedstawić standardowe klauzule umowne, które z pewnością niejednokrotnie posłużą jako wzór do regulowania tego rodzaju umów. Obecny projekt nowej ustawy o ochronie danych osobowych przewiduje też możliwość wydawania przez polski organ nadzorczy zbiorów dobrych praktyk, stanowiących wskazówki, w jaki sposób dostosować prowadzoną działalności do wymogów RODO. Z pewnością pomoże to przedsiębiorcom w procesie przygotowania się do wejścia w życie RODO, jednak pod warunkiem że dobre praktyki zostaną  wydane w rozsądnym czasie przed 25 maja 2018 r.

Przedsiębiorcy, którzy powierzają przetwarzanie danych osobowych powinni już teraz podjąć stosowne kroki, aby zminimalizować ryzyko wystąpienia sytuacji, w której ich dostawcy usług nie będą spełniać gwarancji przestrzegania wymogów RODO. Obok ryzyka naruszenia bezpieczeństwa powierzonych danych istnieje też zagrożenie nałożenia przez organ nadzorczy kary administracyjnej w wysokości do 10.000.000 EUR, albo w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa). Ta sama sankcja może grozić przedsiębiorcom w przypadku braku zawarcia umowy o przetwarzanie bądź też zawarcie takiej umowy w sprzeczności z wymogami RODO. W tym przypadku ryzyko grozi zarówno administratorowi danych, jak i podmiotowi przetwarzającemu

Jeśli są Państwo zainteresowani omówieniem szczegółów dotyczących tematu RODO, eksperci Rödl & Partner pozostają do Państwa dyspozycji. W przypadku gdyby byli Państwo zainteresowani naszą pomocą w przeanalizowaniu praktyk stosowanych w Państwa przedsiębiorstwie oraz dokumentacji dotyczącej ochrony danych osobowych pod kątem ich zgodności z obecnymi, a także nadchodzącymi regulacjami, służymy wsparciem i doradztwem prawnym. Nasi adwokaci jak i radcowie prawni oferują doradztwo prawne także w innych dziedzinach. Są dostępni dla Państwa w biurach Rödl & Partner: Gdańsk, Gliwice, Kraków, Poznań, WarszawaWrocław.

2.02.2018