Kiedy konieczne jest zawarcie umowy powierzenia przetwarzania danych

Powierzenie przetwarzania danych osobowych było regulowane przepisami ustawy z 1997 r. o ochronie danych osobowych, zostało także uregulowane w RODO. Pomimo wykształconej bogatej praktyki związanej z zawieraniem umów powierzenia przetwarzania danych osobowych zagadnienie to ciągle budzi wątpliwości. Administratorzy danych często nie wiedzą, czy w danej relacji powierzają przetwarzanie danych (relacja administrator danych – podmiot przetwarzający) i w związku z tym muszą zawrzeć umowę powierzenia przetwarzania danych, a kiedy po prostu udostępniają dane innemu administratorowi danych (relacja administrator danych – administrator danych) i zawarcie umowy powierzenia jest zbędne. Poniżej zostały omówione te sytuacje, które budzą największe wątpliwości wśród administratorów danych i procesorów.

Ważne

Zgodnie z definicjami zawartymi w art. 4 RODO:

„Administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Administrator danych jest to zatem podmiot, który decyduje o zakresie przetwarzania danych, wykorzystanych do tego narzędziach, a przede wszystkim celu, w jakim gromadzi dane i w jaki sposób z nich korzysta. Sam proces pozyskiwania danych i ich przetwarzania regulują przepisy prawa, jednak administrator danych, w granicach wyznaczanych przez prawo, ma swobodę w decydowaniu o wykorzystaniu zgromadzonych danych osobowych. Co więcej, administrator danych może zmienić cel, w jakim przetwarza posiadane dane osobowe. Konieczne jest w takiej sytuacji spełnienie obowiązku informacyjnego, a w niektórych przypadkach uzyskanie odpowiednich zgód od osób, których dane dotyczą. Nie zmienia to jednak faktu, że po spełnieniu wymogów narzuconych przez przepisy RODO administrator danych jest niezależny w wybranym przez siebie celu i sposobie przetwarzania danych osobowych.

 

Ważne

„Podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Podmiotem przetwarzającym jest podmiot, który przetwarza dane osobowe przekazane mu przez administratora danych i w celu przez niego określonym. Podmiot przetwarzający przetwarza powierzone mu dane osobowe wyłącznie na udokumentowane polecenie administratora danych. Podmiot przetwarzający nie może sam decydować o sposobie wykorzystania powierzonych mu danych osobowych.

Jako przykład można wskazać powierzenie przetwarzania danych księgowej. Sposób przetwarzania tych danych określa administrator danych. Księgowa może przetwarzać powierzone jej dane jedynie w celu prowadzenia rozliczeń i ksiąg rachunkowych administratora danych. Nie może wykorzystać powierzonych jej danych we własnych celach marketingowych, np. wysyłając osobom, których dane pozyskała z faktur administratora danych, własnej oferty świadczenia obsługi księgowej. Taki sposób wykorzystania powierzonych jej danych byłby niezgody z celem, w jakim administrator powierzył jej przetwarzanie danych.


Przekazywanie danych osobowych księgowej

Najbardziej typowym przypadkiem powierzenia danych osobowych jest zlecenie prowadzenia obsługi księgowej zewnętrznemu podmiotowi. Do biura rachunkowego admi­nistratorzy danych przekazują zarówno dane pracowników w zakresie dotyczącym np. tworzenia listy płac, jak i dane swoich klientów. Biuro rachunkowe nie tylko przechowuje te dane, ale także wykonuje na nich operacje. Jednak wszystkie te czynności wykonywane są na zlecenie i w imieniu administratora danych. Administrator danych przekazuje do wykonania czynności, których realizacja jest jego obowiązkiem. To on decyduje o zakresie i sposobie przetwarzania danych. Księgowa przetwarza powierzone jej dane wyłącznie w takim zakresie, jaki wynika z umowy powierzenia.

Przekazanie danych firmie hostingowej

Kolejną sytuacją, w której konieczne jest zawarcie umowy powierzenia przetwarzania danych, jest przetwarzanie danych na zewnętrznych serwerach. Wymóg zawarcia umowy powierzenia zależy od konkretnego stanu faktycznego. W każdej jednak sytuacji, w której dane osobowe są przechowywane na zewnętrznym serwerze (dane klientów, faktury, akta pracownicze, skrzynka mailowa), konieczne będzie zawarcie umowy powierzenia z dostawcą hostingu.
 

Ważne

Przed zawarciem umowy powierzenia z hostingodawcą warto zastanowić się nad tym, jakie dokładnie dane będą przechowywane na zewnętrznym serwerze. Jeśli nie będą tam zawarte dane osobowe, to nie ma potrzeby zawierania umowy powierzenia.

Zdarza się, że np. na serwerze znajduje się strona internetowa, za pomocą której klienci nie przekazują żadnych danych osobowych albo kiedy na serwerze gromadzone są zanonimizowane projekty lub przykłady realizacji usług. W takich przypadkach nie trzeba zawierać umowy powierzenia przetwarzania danych osobowych.


Przekazanie danych pracowników w celu objęcia ich dobrowolnym ubezpieczeniem

Jednym z najbardziej kontrowersyjnych przypadków, kiedy pojawiają się wątpliwości dotyczące powierzenia przetwarzania danych osobowych, są dobrowolne ubezpieczenia pracowników. Administratorzy danych mieli wątpliwości, czy przekazując ubezpieczycielom dane pracowników, powinni zawierać umowy powierzenia przetwarzania danych. Obecnie jednak dominuje pogląd, że w takiej sytuacji nie dochodzi do powierzenia przetwarzania danych, a ubezpieczyciel staje się osobnym admi­nistratorem danych. Jest to więc relacja administrator danych – administrator danych. Takie stanowisko zajął też Urząd Ochrony Danych Osobowych w opublikowanym w październiku 2018 r. poradniku „Ochrona Danych Osobowych w miejscu pracy. Poradnik dla pracodawców”[1]. W przedmiotowej publikacji wyraźnie wskazano, że w przypadku przekazania danych osobowych pracowników ubezpieczycielowi pracodawca udostępnia te dane na podstawie art. 6 ust. 1 lit. a RODO, czyli zgody pracownika. Nie ulega bowiem wątpliwości, że skoro przystąpienie do tego typu ubezpieczeń jest dobrowolne, to pracownik musi wyrazić chęć bycia objętym takim ubezpieczeniem.

 

Ważne

Z punktu widzenia administratorów danych przekazanie ubezpieczycielom danych pracowników w celu objęcia ich dobrowolnym ubezpieczeniem powoduje, że po stronie ubezpieczycieli powstaje obowiązek informacyjny.

W tym zakresie pracodawca nie musi już spełnić obowiązku informacyjnego. To ubezpieczyciel – jako podmiot, z którym pracownik zawiera umowę ubezpieczenia – powinien przekazać pracownikowi informacje wymagane na podstawie art. 13 RODO.


Przekazanie danych pracowników podmiotom oferującym benefity pracownicze

Podobne stanowisko jak w zakresie dobrowolnych ubezpieczeń Urząd Ochrony Danych Osobowych[2] zajął w kwestii podmiotów, które oferują pracownikom różnego rodzaju benefity, takie jak karnety na siłownię czy prywatną opiekę
zdrowotną. W takim przypadku również mamy do czynienia z relacją administrator danych – administrator danych. To te podmioty decydują o celach i sposobach wykorzystania przekazanych im danych osobowych. Co równie istotne, pracodawcy nie mogą żądać od tych podmiotów udostępnienia zebranych przez nich informacji o pracownikach, np. o stanie zdrowia pracowników.

Przekazywanie danych pracowników w zakresie dotyczącym medycyny pracy

Kolejnym przypadkiem, w którym zawarcie umowy powierzenia nie jest konieczne, jest kierowanie przez pracodawcę pracowników na badania profilaktyczne. W takiej bowiem sytuacji również nie dochodzi do powierzenia przetwarzania danych. Lekarz wykonujący przedmiotowe badania staje się administratorem danych, które w ten sposób uzyska. Co ważne, nie udostępnia ich potem pracodawcy, ponieważ pracodawca otrzymuje jedynie zaświadczenie stwierdzające, czy pracownik może wykonywać pracę na określonym stanowisku. Natomiast inne informacje uzyskane w trakcie takich badań są zgromadzone w dokumentacji medycznej podmiotu, który je wykonał, i pracodawca nie ma do nich dostępu. Są one objęte tajemnicą lekarską.

Przekazywanie danych pracowników firmom szkoleniowym

O tym, czy trzeba zawierać umowy powierzenia przetwarzania danych osobowych z zewnętrznymi firmami szkoleniowymi, decydują przede wszystkim okoliczności faktyczne zachodzące w konkretnym przypadku. Jeżeli firma szkoleniowa przeprowadzi szkolenie bez uzyskiwania jakiegokolwiek wglądu do danych osobowych pracowników, to nie ma potrzeby zawierania umowy powierzenia przetwarzania danych osobowych. Jednak w sytuacji, gdy firma szkoleniowa ma dostęp do danych osobowych, np. zbiera formularze zapisu na szkolenie albo listy obecności, wtedy konieczne jest zawarcie umowy powierzenia przetwarzania danych.

Ważne

Powyżej przedstawiono jedynie przykładowe sytuacje, w których konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych.

Każdą sytuację należy rozpatrywać indywidualnie. W każdym jednak przypadku, kiedy zewnętrzny podmiot przetwarza dane osobowe zgodnie ze sposobem wskazanym przez administratora danych, na jego polecenie i w określonym przez niego celu, konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych.


[1]  //uodo.gov.pl/pl/138/545
[2]  //uodo.gov.pl/pl/138/545