Instytucja powierzenia danych osobowych do przetwarzania jest bardzo często wykorzystywana (mniej lub bardziej świadomie) w bieżącej działalności przedsiębiorstwa. Uprawnia ona administratora (ADO) do korzystania z usług np. firm hostingowych, firm dostarczających systemy CRM czy systemy księgowe/rozwiązania dla HR, w zakresie w jakim podmioty te co najmniej uzyskują dostęp do danych osobowych. Przepisy nie wymagają aby ADO samodzielnie wykonywał wszystkie operacje związane z danymi osobowymi.
Aktualnie jeszcze obowiązująca ustawa o ochronie danych osobowych wymaga aby umowa powierzenia danych do przetwarzania była zawarta na piśmie i określała zakres i cel przetwarzania danych. Bardzo często w praktyce elementy te zawarte są w ramach innych umów (jako ich element składowy). Również obowiązująca ustawa nie rozstrzygała/nie regulowała kwestii dalszego powierzenia danych (tzw. podpowierzenia).
RODO również w tym aspekcie przynosi zmiany.
Najważniejszą zmianą jest prawdopodobnie wymóg związany z treścią umowy i jej obowiązkowymi postanowieniami.
Co do treści RODO stawia wymóg aby umowa o powierzeniu danych do przetwarzania określała:
- przedmiot i czas trwania przetwarzania,
- charakter i cel przetwarzania,
- rodzaj danych osobowych oraz kategorie osób, których dane dotyczą,
- obowiązki i prawa administratora.
Co do obowiązkowych klauzul natomiast przepisy nakazują aby ADO zobowiązał podmiot przetwarzający do:
- przetwarzania danych wyłącznie na udokumentowane polecenie administratora,
- zapewnienia, by osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
- podjęcia środków zabezpieczenia danych wymaganych przepisami,
- przestrzegania warunków korzystania z usług ew. dalszych podmiotów przetwarzających dane,
- pomagania administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw oraz do wykonania obowiązków zabezpieczenia danych,
- usunięcia lub zwrotu administratorowi danych osobowych po zakończeniu przetwarzania, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych,
- udostępniania administratorowi informacji niezbędnych do wykazania spełnienia obowiązków związanych z powierzenie oraz do umożliwienia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów.
Warto wspomnieć również o formie. Umowa ma mieć formę pisemną, w tym może mieć formę elektroniczną.
Dalsze powierzenie zostało uregulowane w RODO. Podmiot przetwarzający może skorzystać z usług innego podmiotu, któremu powierzy dane lecz nie może tego zrobić bez uprzedniej szczegółowej lub ogólnej pisemnej zgody ADO. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
Ostatnia, również istotna zmiana dot. samego podmiotu przetwarzającego dane osobowe. ADO pod rządami RODO ma wybierać takie podmioty przetwarzające które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
W efekcie czeka przedsiębiorców nie tylko w pierwszej kolejności weryfikacja/aneksowanie aktualnie zawartych umów w ramach których dochodzi do powierzenia danych do przetwarzania (w tym również uwzględnienie kwestii dalszego powierzenia danych), lecz również analiza czy podmiot któremu ADO powierzył dane spełnia kryteria z RODO. Należy się bowiem liczyć z tym, że w razie kontroli okoliczności wyboru podmiotu przetwarzającego będą również przedmiotem zainteresowania GIODO.