Jednym z podstawowych etapów związanych z prawidłową regulacją procesu przetwarzania danych u każdego podmiotu jest ustalenie komu należy udzielić upoważnienia do przetwarzania danych oraz czy i z kim zawrzeć umowę związaną z ochroną danych osobowych, ewentualnie o jakiej treści. W wielu przypadkach sprawia to sporo problemów bo materia ta nie jest łatwa i jednoznaczna. W niniejszym wpisie postaram się rozwiać ewentualne wątpliwości starając się podejść do tematu praktycznie. Zapraszam wobec tego do lektury praktyczno-teoretycznego wstępu i na końcu – analizy przykładu.
Upoważnienie udzielane jest osobie, która ma być przedstawicielem podmiotu w zakresie konkretnych procesów przetwarzania danych osobowych w tym podmiocie i w związku z tym ma mieć dostęp do danych osobowych. Upoważnienia powinien wystawić swoim przedstawicielom zarówno administrator jak i podmiot przetwarzający. Dotyczą one zatem każdego.
Upoważnienie do przetwarzania danych osobowych w praktyce oznacza, że osoba upoważniona występuje w imieniu tego podmiotu i w pewien sposób korzysta z prawa tego podmiotu do przetwarzania danych osobowych. Zobrazować to można w ten sposób, że osoba upoważniona jest własnymi „rękoma”, którymi podmiot ten dokonuje przetwarzania danych osobowych.
Udzielając upoważnień należy mieć na uwadze zasadę minimalizmu, co oznacza w praktyce, że powinno się udzielić upoważnienia do przetwarzania danych osobowych wyłącznie tym osobom, które w związku z pełnionymi obowiązkami muszą mieć dostęp do danych osobowych oraz tylko w takim zakresie, jaki jest niezbędny do wykonania tych obowiązków. Należy się wobec tego zastanowić komu i jaki dostęp do danych osobowych jest potrzebny i absolutnie należy kierować się tutaj racjonalnością, tak by nie blokować lub utrudniać podstawowej działalności firmy.
Upoważnienie powinno wskazywać w swojej treści przede wszystkim komu zostało udzielone, na jaki czas oraz jaki ma ono zakres. Warto przy okazji wzbogacić je o oświadczenie o zapoznaniu się z obowiązującymi regulacjami dotyczącymi ochrony danych osobowych, zobowiązanie do ich przestrzegania, zobowiązanie do zachowania poufności oraz wskazanie dostępu do wykorzystywanych w podmiocie systemów informatycznych. Upoważnienie może także określać rodzaj operacji, które osoba upoważniona może wykonać na danych np. wąsko – wyłącznie dostęp lub szeroko – dostęp, modyfikacja i usunięcie.
Umowa powierzenia zawierana jest pomiędzy administratorem i podmiotem przetwarzającym. Administrator określa cele i sposoby przetwarzania danych osobowych, a podmiot przetwarzający (procesor) przetwarza dane osobowe w imieniu administratora. Minimalna treść umowy powierzenia wskazana jest w art. 28 RODO i nie ma potrzeby jej przywoływania w tym miejscu. Należy jednak pamiętać, że jeszcze przed zawarciem umowy powierzenia administrator powinien zadbać o to, by procesor dawał wystarczającą gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych. Przy wyborze kontrahenta powinien wobec tego mieć na uwadze stosowanie przez niego odpowiedniego poziomu ochrony danych osobowych, a zatem powinien co najmniej zadać kilka kontrolnych pytań w tym zakresie, by nikt nie zarzucił mu braku rzetelności przy wyborze usługodawcy. Zasada jest, że za działania podmiotu przetwarzającego i tak odpowiedzialność ponosi administrator!
Stosunek pomiędzy administratorem i podmiotem przetwarzającym można zobrazować w dużym uproszczeniu jako relację pomiędzy człowiekiem (administrator) i robotem (podmiotem przetwarzającym). Administrator decyduje w tej relacji o tym jakie operacje na danych osobowych administratora i w jaki sposób mają być wykonane przez podmiot przetwarzający, a podmiot przetwarzający wyłącznie robi to, co administrator zdecydował. Administrator „programuje” to co i w jaki sposób ma robić procesor, którego jedynym zadaniem jest to wykonać. Procesor jest pozbawiony w tym zakresie swobody działania.
Ważne jest zrozumienie, że dla relacji administrator-procesor nie wystarczy sama możliwość określenia celów przetwarzania danych osobowych ale także – co równie istotne – sposobów przetwarzania (np. zabronienia korzystania z nowych podwykonawców lub użycia nowych narzędzi). Każdorazowo należy się zatem zastanowić co w danej relacji administrator może „kazać” zrobić podmiotowi przetwarzającemu i przez ten pryzmat oceniać tę relację.
To nie koniec, bo w praktyce występuje także często relacja administrator – administrator. Relację tę można zobrazować jako powierzenie przetwarzania danych osobowych przez jedną osobę komuś innemu, a oba te podmioty są w stosunku do siebie niezależne. Niezależność ta może się przejawiać zarówno w odmiennych celach przetwarzania danych osobowych lub posiadaniu po prostu własnych celów ale także w możliwości decydowania o sposobach przetwarzania danych.
Aby pod kątem prawnym uregulować tę relację warto zawrzeć porozumienie, które jednoznacznie potwierdzi, że mamy do czynienia z taką właśnie relacją, w czym jej upatrujemy i jakie ogólne warunki współpracy sobie stawiamy. Dokument ten, choć nie jest obligatoryjny, w mojej ocenie jest bardzo istotny z tego powodu, że pozwoli wykazać, że dany stosunek został przeanalizowany od kątem przepływu danych osobowych, zdefiniowany i uregulowany.
Na końcu wskazać trzeba na możliwość wystąpienia relacji współadministrowania, która charakteryzuje się tym, że dwa lub więcej podmiotów wspólnie określają cele i sposoby przetwarzania. Musi zatem występować w tej relacji silne powiązanie i możliwość współdecydowania o procesach przetwarzania danych osobowych. Relacja ta będzie występowała stosunkowo najrzadziej, a jej najbardziej powszechnym przykładem jest funkcjonowanie spółek ściśle powiązanych w ramach jednej grupy kapitałowej. Obrazując tę relację można wyobrazić sobie dwie „ręce” tego samego człowieka, które wspólnie przetwarzają dane osobowe.
Przykład:
Jako prosty przykład dla opisanych relacji weźmy niedużą firmę szyjącą damskie torebki. Firma ta będzie dla potrzeb niniejszej analizy składała się z szefowej, kilkunastoosobowej załogi pracowników produkcji, pracownika sekretariatu będącego swoistym asystentem szefowej oraz osoby zajmującej się wyłącznie sprzedażą i dystrybucją. Wszystkie te osoby zatrudnione są na podstawie umowy o pracę, jednak przedstawiciel handlowy pozostaje w relacji B2B pomimo że pracuje w siedzibie firmy i korzysta w całości z jej zasobów. Firma ta korzysta z zewnętrznych usług kadrowych i obsługi prawnej w postaci kancelarii adwokackiej. Ponadto zewnętrzna firma w weekendy sprząta pomieszczenia w których znajduje się jej siedziba.
Zarówno pracownikom zatrudnionym na umowę o pracę jak i przedstawicielowi handlowemu pozostającemu w relacji B2B powinny zostać udzielone upoważnienia do przetwarzania danych osobowych. W stosunku co do pracowników, z którymi firma zawarła umowy o pracę, sprawa jest jasna. Przedstawiciel handlowy pozostający w relacji B2B działa jednak także jako przedstawiciel firmy, jest tak samo traktowany jak pozostali pracownicy i ma dostęp do zasobów firmy. Także jemu dajemy upoważnienie.
Pracownikom produkcyjnym wystarczy bardzo wąskie upoważnienie obejmujące swoim zakresem wyłącznie podstawowe dane innych pracowników i ewentualnie podstawowe dane osób kupujących torebki – o ile proces produkcyjny jest zorganizowany w ten sposób, że jest to wymagane. Obsługa sekretariatu będzie miała szerokie upoważnienie, bo jest prawą ręką szefowej. Będzie ono obejmowało dostęp do danych finansowych, kadrowych, pracowniczych. To przez tę osobę przechodzą bowiem wszystkie dokumenty w firmie. Przedstawiciel handlowy nie powinien mieć natomiast dostępu do danych kadrowych czy danych rekrutacyjnych. Nie są one mu do niczego potrzebne. Powinien mieć jednak dostęp do danych kontrahentów firmy.
Obsługa kadrowa występuje w stosunku do firmy w relacji podmiotu przetwarzającego, więc należałoby zawrzeć z nią umowę powierzenia. Całość danych obsługa kadrowa otrzymuje od naszej firmy, która określa dokładnie co i w jaki sposób obsługa kadrowa ma zrobić. Gdy firma tak zdecyduje obsługa kadrowa będzie musiała zaprzestać przetwarzania tych danych. Firma może się także nie zgodzić na pewne procesy przetwarzania danych osobowych, które chce wprowadzić obsługa kadrowa, np. przechowywanie danych na serwerach w Bangladeszu.
Inaczej jest w stosunku do kancelarii adwokackiej. Adwokat ma dużą niezależność wobec swojego klienta pomimo, że świadczy na jego rzecz usługi. Dla przykładu można wskazać, że kancelaria może przechowywać udostępnione mu dane osobowe w swoich wewnętrznych aktach nawet wtedy, gdy współpraca się zakończy. Wynika to z przepisów prawa. W tym przypadku warto zawrzeć porozumienie regulujące relację administrator-administrator.
Firma sprzątająca ma teoretyczną możliwość dostępu do danych osobowych. Oczywistym jest bowiem, że w pomieszczeniu biurowym będą dokumenty takie dane zawierające, a posprzątać to pomieszczenie przecież trzeba! Nie dochodzi jednak tutaj do powierzenia danych osobowych – firma nie zleca obsłudze sprzątającej żadnych operacji na danych osobowych. Dla bezpieczeństwa warto jednak byłoby tutaj zawrzeć w tym przypadku umowę o zachowaniu w poufności danych do których dostęp firma sprzątająca może uzyskać przy okazji wykonywania umowy.
Na koniec przestroga i przypomnienie o tym, że systemu ochrony danych osobowych nie można przekleić ze wzorów lub od kogoś innego. Każdy podmiot jest inny i wymaga indywidualnego podejścia. Powyższe wskazówki mają wyłącznie pomóc rozróżniać występujące na polu ochrony danych osobowych stosunki i dawać propozycje ich uregulowania. Nie należy ich jednak traktować jako sprawdzony przepis na skuteczny i zgodny z RODO system ochrony danych osobowych. Aby taki stworzyć trzeba wszystko dobrze poznać i przeanalizować, a to wymaga pracy.
