Kiedy, dlaczego i jak powierzać przetwarzanie danych osobowych?

Zawartość

UWAGA – od 25 maja 2018 roku poniższa treść stanie się częściowo nieaktualna. 

Jeśli nie korzystacie z usług innych przedsiębiorców i wszystko w Waszej firmie robicie we własnym zakresie nie powierzacie przetwarzania danych osobowych, ale już jak np. korzystacie z zewnętrznych serwerów, co zapewne u wielu z Was ma miejsce, może się okazać, że powinniście zawrzeć z hostingodawcą umowę o powierzenie przetwarzania danych osobowych. Dotyczy to oczywiście tylko sytuacji, w której na zewnętrznym serwerze będziecie np. przechowywać dane osobowe.

Zgodnie z art. 31 ust. 1 ustawy o ochronie danych osobowych administrator danych, a więc Wy jako osoby/podmioty decydujące o celach i środkach przetwarzania danych osobowych, może, pod pewnymi warunkami, powierzyć przetwarzanie danych innemu podmiotowi.

Kiedy ma miejsce przetwarzanie danych?

Zgodnie z ustawą o ochronie danych osobowych przetwarzanie danych osobowych to:

„jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych”

Jak widzicie katalog czynności, które uznawane są przez ustawodawcę za przetwarzanie danych osobowych jest bardzo szeroki. Według mnie w każdym przypadku kiedy przechowujecie dane osobowe na zewnętrznych serwerach ma miejsce przetwarzanie danych osobowych przez hostingodawcę i powinniście podpisać z nim umowę o powierzenie przetwarzania danych osobowych.

Dlaczego warto podpisać umowę o powierzenie przetwarzania danych osobowych?

Przede wszystkim ze względu na współodpowiedzialność hostingodawcy za „wasze” dane osobowe przechowywane na jego serwerze, a także ich bezpieczeństwo.

Podmiot, któremu powierzacie dane osobowe jest obowiązany, jeszcze przed rozpoczęciem przetwarzania danych, podjąć odpowiednie, określone w ustawie o ochronie danych osobowych, środki zabezpieczające.

Ponadto procesor (podmiot przetwarzające dane) musi spełnić wymagania w zakresie podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, za co ponosi odpowiedzialność tak jak administrator danych osobowych (Pamiętajcie, że pomimo powierzenia przetwarzania danych osobowych innemu podmiotowi nadal jesteście administratorami danych osobowych i ponosicie za nie odpowiedzialność!)

Procesor ponosi również odpowiedzialność za przetwarzanie danych niezgodnie z zawartą z Wami umową o powierzenie danych osobowych.

Co istotne, jeśli Wasz hostingodawca nie wie o tym, że na jego serwerze są przechowywane dane osobowe – nie ponosi za nie odpowiedzialności w oparciu o ustawę o ochronie danych osobowych. Jak można przeczytać na stronie GIODO:

„Jeżeli podmiot udostępniający system (serwer) nie posiada wiedzy co do rodzaju danych przetwarzanych w tym systemie i nie powierzono mu danych w myśl art. 31 ustawy, to podlega on postanowieniom art. 14 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną i jego odpowiedzialność za przetwarzane dane jest ograniczona zgodnie z art. 12–15 tej ustawy.”

Jeśli macie podpisaną umowę o powierzenie przetwarzania danych osobowych nie ma wątpliwości, że procesor posiadał wiedzę o tym, że na jego serwerze utrzymujecie dane osobowe i ponosi wraz z Wami odpowiedzialność.

Umowa o powierzenie przetwarzania danych

Umowa o powierzenie przetwarzania danych powinna zostać zawarta na piśmie (Przeczytaj co to oznacza).
Ponadto powinien być w niej określony zakres oraz cel przetwarzania danych osobowych.

Nie wszystkie firmy hostingowe chcą zawierać takie umowy więc jeśli zależy Wam na takiej umowie, zanim zdecydujecie się na konkretnego usługodawcę, dowiedzcie się czy podpisze on z Wami umowę o powierzenie przetwarzania danych. Różna jest także praktyka firm w zakresie odpłatności za podpisanie takiej umowy, w niektórych trzeba za nią zapłacić.