Umowy powierzenia według RODO

Przepisy RODO, czyli Ogólnego Rozporządzenia o Ochronie Danych Osobowych, które zaczną obowiązywać od 25 maja tego roku, ujednolicają przepisy dotyczące ochrony danych w UE. Celem nadchodzących zmian jest zapewnienie ochrony danych osobowych przed niewłaściwym wykorzystaniem (czego skutkiem może być np. kradzież tych danych) oraz zapewnienie obywatelom UE większej kontroli nad tym w jaki sposób korzysta się z ich danych.

Wiele organizacji i przedsiębiorstw narażonych jest na brak zgodności z przepisami RODO, z racji braku pełnej kontroli nad danymi swoich pacjentów i klientów. Każda firma i placówka medyczna, która przetwarza jakiekolwiek dane osobowe – czy to jako klienci, pracownicy, czy partnerzy biznesowi – powinna zadbać o przestrzeganie zaleceń RODO dotyczących powierzania danych osobowych. Tym samym powinna zawrzeć odpowiednie umowy powierzenia.

Umowy powierzenia, podmiot przetwarzający (procesor) i administrator – co oznaczają?

O powierzeniu danych osobowych mówimy gdy podmiot „A” przekazuje dane osobowe podmiotowi „B”, który w jego imieniu, na jego zlecenie i wyłącznie do celów określonych przez podmiot „A” będzie przetwarzał dane osobowe.

W powyższym przypadku podmiot A będzie administratorem danych osobowych (ADO) – czyli właścicielem danych, który decyduje o celach i sposobie ich przetwarzania. Podmiot B będzie natomiast procesorem – czyli wykonawcą zlecenia, zadania związanego z przetwarzaniem danych osobowych  (np. niszczenia, przechowywania, serwisowania sprzętu czy realizacją zewnętrznej diagnostyki laboratoryjnej) powierzonego przez ADO.

Przykładowo, jeżeli przychodnia zleci część badań zewnętrznemu laboratorium lub innej placówce medycznej, wtedy ta zewnętrzna firma staje się procesorem danych osobowych i może przetwarzać otrzymane dane jedynie w taki sposób i w takim celu, na który przychodnia wyraziła zgodę. Tak samo jest w przypadku udostępniania danych firmom informatycznym, zapewniającym transport pacjentów lub dostawcom systemów informatycznych.

Chociaż w sytuacji powierzenia przetwarzania danych osobowych procesor nie staje się administratorem tych danych, to od momentu przekazania mu danych osobowych spoczywają na nim obowiązki bardzo podobne do tych, które ma administrator danych, takie jak konieczność zabezpieczenia danych czy obowiązek zachowania ich w tajemnicy. Co więcej, procesor będzie także musiał pomagać administratorowi danych w realizacji części jego obowiązków wynikających z RODO, takich jak odpowiadanie na żądanie pacjenta dostępu do danych czy realizacja obowiązku zgłaszania naruszeń ochrony danych.

Procesor zawsze będzie działać na wyraźne polecenie administratora, nie może sam decydować co robić z danymi, które otrzymał. Należy bowiem także pamiętać, że procesor jest jedynie umocowany do przetwarzania danych w imieniu administratora. Nie może zatem wykorzystywać pozyskanych danych do własnych celów (jak np. własne działania marketingowe skierowane do osób, których dane pozyskał od administratora na podstawie umowy powierzenia).

Podstawą powierzenia danych zawsze powinna być umowa powierzenia określająca wzajemne prawa i obowiązki. W obecnym stanie prawnym umowy powierzenia mogą być zawierane jedynie w formie papierowej. Po wejściu RODO będzie je można zawierać również w formie elektronicznej. 

Obowiązki procesora danych

Przepisy RODO kładą duży nacisk na odpowiedzialność procesorów i ich obowiązki związane z właściwym przetwarzaniem danych. Procesor, tak samo jak ADO, jest odpowiedzialny za zapewnienie bezpieczeństwa danych, które zostały mu powierzone i w razie jakiegokolwiek naruszenia niezwłocznie informuje o tym fakcie ADO. Bezwzględnym obowiązkiem procesora jest zapewnienie przetwarzania danych zgodnie z umową powierzenia zawartą pomiędzy nim a ADO. Ponadto na procesorze ciążą obowiązki takie jak:

  • przetwarzanie danych osobowych jedynie na wyraźne polecenie ADO,
  • konieczność uzyskania pisemnej zgody ADO (szczegółowej lub ogólnej) w przypadku podpowierzenia danych przez procesora innemu podmiotowi,
  • zapewnienie poufności danych,
  • zabezpieczenie techniczne i organizacyjne danych,
  • usunięcie lub zwrot administratorowi przetwarzanych danych po zakończeniu współpracy,
  • udostępnienie administratorowi wszelkich informacji niezbędnych do wykazania zgodności przetwarzanych danych z RODO,
  • informowanie ADO o jakichkolwiek naruszeniach bezpieczeństwa powierzonych danych,
  • wspieranie ADO w realizowaniu uprawnień osób, których dane dotyczą w zakresie dostępu, sprostowania danych, usuwania, uzyskania dalszych informacji o ich danych osobowych.

Powyższe obowiązki może spełnić jedynie procesor, który rzetelnie i profesjonalnie wykonuje swoje zadania. Dlatego RODO tak duży nacisk kładzie na to, by administrator korzystał wyłącznie z usług takiego podmiotu, który daje odpowiednie gwarancje wypełniania wymogów ustalonych w RODO.

Co powinna zawierać umowa powierzenia według RODO?

Pomimo zwiększonej odpowiedzialności procesorów danych, administrator cały czas ponosi pełną odpowiedzialność za zapewnienie bezpieczeństwa danych osobowych powierzonych zewnętrznej firmie. Celem umowy powierzenia jest wskazanie, w jakim zakresie procesor może przetwarzać powierzone mu dane, zobowiązanie procesorów danych do zapewnienia odpowiednich środków technicznych i organizacyjnych dla zachowania bezpieczeństwa danych oraz określenie co procesor powinien zrobić z danymi osobowymi po zakończeniu przetwarzania.

Co musi zawierać umowa powierzenia:

  • wskazanie administratora danych,
  • wskazanie podmiotu, któremu powierzane są dane,
  • zakres, charakter i cel przetwarzania danych,
  • czas trwania przetwarzania,
  • rodzaje powierzanych danych oraz kategorie osób, których dotyczą,
  • wskazanie obowiązków i praw administratora,
  • wskazanie obowiązków procesora.

Podsumowanie

Mając na uwadze zmiany związane z powierzaniem danych, RODO wpłynie w tym zakresie zarówno na procesorów, jak i administratorów danych. Zwiększony nacisk RODO na rozliczalność i zdolność do wykazania zgodności z przepisami powinien wpłynąć na ostrożniejsze podejście obu stron umowy do powierzanych danych. Placówki medyczne z racji przetwarzania danych wrażliwych powinny ze szczególnym zainteresowaniem zadbać o zawarcie umów powierzenia ze wszystkimi podmiotami, które mają lub mogą mieć dostęp do ich danych osobowych. Przy ewentualnym naruszeniu danych może to być kluczowy element dla wykazania, że placówka zadbała o bezpieczeństwo danych przy wyborze współpracującego z nią podmiotu.

W związku z tym w okresie do 25 maja 2018 r. każdy z administratorów danych powinien dokonać przeglądu wszystkich aktualnych umów dotyczących udostępniania danych oraz zaktualizować je o zapisy dotyczące powierzenia danych. Tym samym zapewni swojej organizacji możliwość egzekwowania od strony, której udostępnił dane konsekwencji ewentualnych naruszeń powstałych po stronie procesora.