Bernadeta Gronowska, Jacek Rembikowski, Poznań czerwiec 2018
Umowa powierzenia, to dokument , za którego treść odpowiada Administrator Danych (np. firma powierzająca dane stronie trzeciej). Dlatego też należy bacznie zwracać uwagę, czy aby podwykonawca nie próbuje sobie zapewnić tzw. tyłochronu, gdyż będąc zobligowany do przetwarzania zgodnie z prawem w pierwszej kolejności, i zgodnie z RODO w drugiej, stara się za wszelką cenę odsunąć od siebie odpowiedzialności w stylu - ja zrobiłem wszystko, co mogłem, to Administrator jest winny. Może się to okazać bronią obosieczną dla obu stron i to bardzo bolesną.
Kiedy Procesor odpowiada? A no wtedy gdy nie zadba o to, aby mu rzetelnie Administrator powiedział, co będzie przedmiotem działania lub wiedząc, że nie spełnia właściwych kryteriów podejmie się przetwarzania, mimo wiedzy co do zakresu danych i świadomości, że nie jest w stanie ich chronić w adekwatny sposób.
Cel umowy powierzenia.
Powierzenie przetwarzania w większości przypadków w ogóle nie ma nic wspólnego z celem
Nie istnieje takie pojęcie!!! I proszę nas zaskarżyć gdzie kto chce ale niczego to nie zmieni. Bo...
- powierzam tobie przechowywanie moich zbiorów (czyli archiwizacja) - celem nie jest powierzenie ale przechowywanie
- powierzam tobie nadzór nad szkoleniami Bhp - celem nie jest powierzenie ale prowadzenie szkoleń, ich rejestrowanie, wystawianie zaświadczeń, pilnowanie terminów, z czym wiąże się powierzenie
Celem wynikającym z RODO owszem są cele znajdujące swoje poparcie w określonych punktach RODO ale nie stanowią działania samego w sobie.
Przykład? Nasz ulubiony cel: "wykonania zawartej z Panią/Panem umowy o pracę lub podjęcia niezbędnych działań przed zawarciem umowy - podstawą prawną przetwarzania danych osobowych w tym zakresie jest art. 6 ust. 1 lit. b Rozporządzenia".
Nic bardziej mylnego - podstawą prawną jest umowa o pracę, to raz, a dwa Kodeks Pracy, który reguluje warunki jej zawarcia. Te elementy są natomiast zgodne z wymogami RODO zwartymi w art. 6. ust. 1 lit. b.
Czy poinformowanie pracownika w tym kształcie jest zgodne z RODO? NIE, bo informacja ma być rzetelna, czytelna i przejrzysta i każdy pracodawca wie co to oznacza o ile miał kontakt z Sądem Pracy i stanowiskiem: ale ja nie wiedziałem, nie znam prawa (bo to taki fajny obszar, gdzie nieznajomość prawa nie szkodzi - szkodzi natomiast pracodawcy).
Co powinna zawierać umowa powierzenia?
Jeżeli nie zawarliśmy określonych zapisów w umowie głównej (co w obecnej chwili jest oczywiste, bo niekoniecznie mieliśmy taki obowiązek wprost, choć logiczne z punktu widzenia ochrony danych), to oczywiście zawieramy umowę powierzenia, która doprecyzowuje:
a) cel ale tylko gdy nie jest on jednoznaczny (choć taka umowa główna powinna mówić na jakie działania się umawiamy np. serwis oprogramowania, archiwizację danych, związany z nim obowiązek robienia kopii, ochronę tych kopii itd.);
b) zakres działań, jako kontynuacja celu (niekiedy sam cel może być działaniem np. składowanie kopii archiwalnych - my dostarczamy kopie na nośniku, a podwykonawca go tylko składuje);
c) zakres danych: tu może być trudno, bo nie raz wręcz nie wolno ich ujawnić ale:
- w większości przypadków należy wprost wymienić kategorie oraz szczegóły (imię, nazwisko, adres itd.)
- można wymienić tylko kategorie jeżeli nie wolno nam ujawnić zakresu danych z jakiegoś powodu (np. przekazujemy do chmury archiwa bo u nas się nie mieszczą ale mamy zastrzeżenie w umowa z klientami, że nie wyrażają zgody na ujawnienie niczego o nich samych lub ich klientach), wówczas możemy posłużyć się pojęciem ogólnym o ile dostawca tylko dba o zbiór, a w swojej dokumentacji mamy szczegółowe opisy co on zawiera)
- możemy się posłużyć uogólnieniem zwłaszcza w trybie przyszłościowym o ile w trybie rozliczalności posiadamy inny dokument, który może to potwierdzić, czyli możemy napisać w umowie że powierzamy Dane pracownicze, w zakresie zgodnym funkcjonalnością zgodną np. z systemem informatycznym, zgodnie z aktualną dostarczoną lub dostarczaną na bieżąco dokumentacją,
BO CELEM WYLICZANIA JAKIE DANE SĄ PRZETWARZANE NIE JEST ICH WYLICZANIE ALE ROZLICZENIE STRON CO DO ZAKRESU PRZEKAZYWANYCH I PRZETWARZANYCH DANYCH.
Dlatego niewolno pisać "imię i nazwisko, adres oraz inne dane" lub "m.in.: imię i nazwisko" bo rodzi poważne ryzyko co do rozliczenia jakie dane i kto powinien przetwrzać/przekazywać.
Takie zapisy są też bardzo niebezpieczne dla podwykonawcy, gdyż naraża się na przetwarzanie danych, o których nie wie (zwłaszcza mówiąc po staremu danych wrażliwych, których ochrona wymaga szczególnych środków). Podwykonawca nie odpowiada dla odmiany (w trybie na wszelki wypadek) za dane wprowadzone bez tzw. jego wiedzy czy zgody. Przykładem może być tu pole, często stosowane: UWAGI, w które można wpisać wszystko. Jeżeli Administrator wprowadzi tam takie dane to on za to odpowiada, a nie procesor, bo nie jest on zobligowany do nadzorowania pracy Administratora Danych.
d) informacje o czasie przetwarzania w trakcie umowy, jak i o tym co z danymi musi być wykonane po zakończeniu umowy (wbrew pozorom powierzenie może trwać nadal jeżeli wynika to z litery prawa np. dla potrzeb dowodowych czy archiwalnych np. u radców prawnych prowadzących sprawy);
e) pozostałe deklaracje związane z oświadczeniem stron o współpracy, staranności i działaniu zgodnie z RODO w szczególności w obszarze incydentów;
f) warunki dostępu do danych osobowych, których one dotyczą - w niektórych bowiem przypadkach dostęp i pozostałe prawa będę realizowane wprost, a w niektórych nie (np. serwisant nie może zgłosić do Administratora zmiany dowodu, zgłasza to pracodawcy, który informuje o tym fakcie zleceniodawcę);
g) no i oczywiście - o ile nie reguluje tego umowa główna powinny być zdefiniowane czyli: czy procesor tylko ma wgląd w dane, czy może je jednak czyta w celu wydania opinii lub wniosku, czy je poprawia, czy zmienia, kopiuje itd. Pisanie w takie umowie całego wachlarza powierzonych działań może się zemścić na Administratorze. Jeżeli więc standardem jest działanie w obecności danych, to należy to jednoznacznie zaznaczyć, jeżeli w grę wchodzi doraźne poprawianie także i warto to uzależnić od polecenie Administratora (to rada dla Procesorów).
Czy IOD może pisać takie umowy?
NIE, gdyż jako 'ciało doradcze' oraz osoba kontrolująca poprawność przetwarzania danych osobowych wszedłby w konflikt interesów, gdyż docelowo kontrolowałby sam siebie, to raz, a dwa później weryfikowałby postępowanie stron wg własnego projektu.
I na koniec - przypadek szczególnych, czyli informowanie pracowników, w aspekcie rzetelności bo to nie tylko ich dotyczy
W niektórych umowach powierzenia pojawiają się zapisy związane z informowaniem pracowników. Temat opisujemy także z poziomu umów o pracę, bo jest on tożsamy w wielu przypadkach.
Jeżeli chcemy napisać w obowiązku informacyjnym tak w zakresie odbiorców danych tak:
"- podmiotom uczestniczącym w procesach niezbędnych do wykonywania zawartej
z Panią/Panem umowy o pracę ",
to jest to naruszenie RODO, bo nie tylko klient ale także pracownik ma prawo wiedzieć dokłądnie komu dane przekazujemy.
Jeżeli napiszemy w obowiązku informacyjnym nie ważne czy dla pracowników, czy dla klientów, tak:
" W zakresie w jakim podstawą przetwarzania Pani/Pana danych osobowych jest przesłanka prawnie uzasadnionego interesu Banku, przysługuje Pani/Panu prawo wniesienia sprzeciwu wobec przetwarzania Pani/Pana danych osobowych."
Także jest to naruszeniem RODO zwłaszcza w zakresie Kodeksu Pracy, gdyż pracownik nie musi wiedzieć jakie dane są obowiązkowe, a jakie nie.
Dlatego też powinniśmy poinformować pracownika, czy klienta, rzetelnie jakie dane są obowiązkowe i z czego to wynika, a jakie dobrowolne i jakie związane są nimi prawa.
Przykład: dane dobrowolne to np. telefon prywatny, prawo do wykorzystania wizerunku, prawo do wykorzystania wizerunku rodziny itp. bo to prawo może być cofnięte (np. nie chcę aby dalej na FB wisiały moje zdjęcia). To dla odmiany nie dotyczy zawodów szczególnych bo ochroniarz, konwojent musi udostępnić takie dane, więc obszar ten stanowi przedmiot indywidualnych, wewnętrznych ustaleń. Ale należy mieć na uwadze fakt, że w Sądzie pracownik może powiedzieć: ale ja nie wiedziałem i ma do tego prawo.
Więcej na ten temat możecie Państwo przeczytać w artykule: Analiza przypadków - umowy, a obowiązek informacyjny
