RODO cz. V – Czy taki diabeł straszny jak go malują?
Życie „po RODO”, czyli największe absurdy i najczęstsze problemy
Długo nie pisałam, za co przepraszam wszystkich zainteresowanych. Najpierw zaczęło obowiązywać RODO i natłok pracy spowodował, że prawie nie miałam czasu nawet na sen, a później w końcu nadeszły upragnione wakacje. Za to teraz, z nowymi siłami, postanowiłam trochę zmienić zapowiadany harmonogram wpisów i podzielić się moimi spostrzeżeniami po 2 miesiącach obserwacji stosowania RODO. Przy okazji poruszę problematykę powierzenia danych do przetwarzania, która stała się ostatnio dla moich klientów tematem nr 1.
Kiedy kontrahent odmawia podania danych osobowych …
Cóż mogę powiedzieć – jestem odrobinę przerażona, nie samym RODO, ale powszechną nieumiejętnością jego stosowania, z którą spotykam się niemal codziennie. Najgorsze jest to, że dotyczy to nie tylko laików, ale niestety także zdarza się w sytuacjach, w których naprawdę nie powinno mieć miejsca. Przykładowo, ostatnio notariusz, u którego mój klient miał podpisać umowę, odmówił przesłania nam projektu aktu notarialnego, argumentując, że zawiera on dane osobowe drugiej strony. Nic to, że dane te dostał od nas. W jedną stronę mogły „pójść”, a w drugą najwidoczniej już nie. Z podobną sytuacją spotkałam się dosłownie dzisiaj: mój klient – spółka z o.o. – realizuje usługę na rzecz zamawiającego, polegającą na pełnieniu dyżurów „technicznych” w dużym przedsiębiorstwie użyteczności publicznej. Co oczywiste, usługi realizuje poprzez swoich pracowników i zleceniobiorców, których z końcem każdego miesiąca musi rozliczyć z ilości przepracowanych godzin. Kierując pracowników/zleceniobiorców do pełnienia dyżurów, działając na podstawie swoich prawnie uzasadnionych interesów (art. 6 ust. 1 lit f RODO), udostępnia zamawiającemu ich dane osobowe, których jest administratorem. Dotychczas, w celach rozliczeniowych, mój klient otrzymywał miesięczne zestawienie przepracowanych przez każdego (swojego) pracownika godzin. Obecnie, „z uwagi na RODO”, odmówiono mu sporządzenia takiego zestawienia, argumentując, że przepisy zabraniają podania mu danych osobowych jego własnych pracowników.
Śmieszne? Raczej przerażające. Wydaje się, że słowo RODO wywołuje tak wielki strach, że ludzie boją się dokonać jakiejkolwiek czynności związanej z przetwarzaniem danych osobowych. Do tego stopnia, że paraliżują pracę nie tylko swoją, ale i innych. A jeśli już nie odmawiają wszystkiego, to często niestety tworzą i podsuwają do podpisu umowy/oświadczenia, które nigdy nie powinny były ujrzeć światła dziennego.
Powierzenie danych do przetwarzania
Jak wynika z mojej praktyki, najwięcej problemów nastręcza zagadnienie powierzenia danych do przetwarzania. RODO w art. 28 dopuszcza możliwość powierzenia innemu podmiotowi (dawniej: procesorowi) czynności z zakresu przetwarzania danych osobowych, formułując przy tym szereg warunków i obowiązków. Aby powierzyć przetwarzanie danych konieczne jest zawarcie umowy, która musi być zawarta w formie pisemnej (w tym w formie elektronicznej) i określać przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Dużym „plusem” dla RODO (i skokiem w XXI wiek) jest umożliwienie zawarcia takiej umowy w formie elektronicznej, czyli np. do zawarcia umowy może dojść poprzez akceptację regulaminu usług hostingodawcy.
Ale od początku. Powierzenie danych do przetwarzania zachodzi, gdy administrator danych powierza dane osobowe ze swoich zbiorów do przetwarzania innym podmiotom. Ma to miejsce zawsze w sytuacji, gdy administrator przekazuje podmiotom trzecim dane osobowe, np. swoich klientów, pracowników czy kontrahentów, zwykle w celu świadczenia przez te podmioty jakiejś usługi na swoją rzecz. Przykładowo – obsługę księgowo-kadrową wykonuje dla nas podmiot zewnętrzny. Co oczywiste, żeby nasze biuro rachunkowe mogło zaksięgować fakturę, którą wystawiliśmy osobie fizycznej (klientowi) albo zgłosić naszych pracowników do ZUS-u, musi mieć dostęp do ich danych osobowych. Bez tego nie wykona swojej usługi. Wówczas, my – jako administrator danych – mamy obowiązek powierzyć przetwarzanie danych klientów/pracowników na rzecz naszego biura rachunkowego. Biuro rachunkowe staje się tzw. podmiotem przetwarzającym i ma prawo (i obowiązek) korzystać z tych danych TYLKO w celu, w jakim zostały mu powierzone (który wynika z zakresu zlecenia). Biuro nie będzie administratorem tych danych i nie będzie mogło podejmować w stosunku do nich żadnych samodzielnych decyzji. Po zakończeniu przetwarzania (po zakończeniu współpracy z nami), podmiot przetwarzający zobowiązany będzie do zwrotu wszelkich powierzonych mu danych i usunięcia u siebie ich kopii, chyba że przepisy prawa nakazują mu dalsze przechowywanie tych danych.
Instytucja powierzenia danych do przetwarzania bardzo często mylona jest z udostępnianiem danych. Podstawowa różnica polega na tym, że podmiot, któremu udostępnimy dane, stanie się ich administratorem (my oczywiście także w dalszym ciągu pozostajemy administratorem tych danych). Czyli jest to czynności idąca dużo dalej – „dajemy” komuś dane osobowe, w taki sposób, że będzie mógł samodzielnie o nich decydować, a my nie będziemy tego kontrolować. Podmiot, któremu przekazaliśmy dane, wykorzysta je we własnym celu, a nie po to, żeby wykonać na naszą rzecz usługę. Musimy zatem mieć do tego jakąś podstawę prawną, czyli albo zgodę podmiotu danych albo którąkolwiek z pozostałych przesłanek wskazanych w art. 6 i 9 RODO (przy powierzeniu nikogo o nic nie pytamy). Przykładowo – za zgodą klienta, udostępnimy jego dane zaprzyjaźnionej spółce, aby mogła przedstawić mu swoją ofertę. Albo – wykonując obowiązki nałożone przepisami, kierujemy pracownika na badania profilaktyczne, a odpowiednie skierowanie dajemy mu nie do ręki (w takim przypadku nic nie udostępniamy, bo to sam pracownik wręcza u lekarza skierowanie ze swoimi danymi), ale przekazujemy placówce medycyny pracy, z którą współpracujemy. Zakład opieki zdrowotnej, który przeprowadzi badanie, musi dysponować wiedzą o danych osoby badanej i wykorzysta je w celu świadczenia własnych usług na rzecz pracownika – przeprowadzenie badania oraz w celu wypełnienia swoich obowiązków prawnych – prowadzenie dokumentacji medycznej. Analogiczna sytuacja zachodzi w przypadku udostępniania danych pracowników na rzecz ubezpieczyciela, który ma ich objąć ubezpieczeniem grupowym. I dalej – prowadzimy biuro podróży i, realizując umowę z klientem, przekazujemy jego dane do hotelu, czy linii lotniczych. Podmioty te będą świadczyć własne usługi, nasz klient stanie się także ich klientem, i nie zwrócą nam (i nie usuną u siebie) jego danych po zakończeniu świadczenia usługi.
Niestety, jak już wspomniałam, instytucje udostępnienia danych i powierzenia danych do przetwarzania często są mylone lub stosowane niepoprawnie, a czasami nawet zupełnie niepotrzebnie. Nagminną praktyką po wejściu w życie RODO stało się w szczególności nadużywanie umów o powierzeniu danych do przetwarzania. Zapewne wszystkim się wydaje, że lepiej zrobić za dużo niż za mało, zwłaszcza, że zawarcie umowy o powierzenie danych do przetwarzania jest równie ważne dla obu stron – powierzający musi mieć podstawę do przekazania danych, a podmiot – przetwarzający do ich przetwarzania (czyli pracy na danych, czy nawet tylko ich przechowywania). Niestety, nie zawsze więcej znaczy lepiej. Pamiętajmy, że jeżeli bez potrzeby powierzymy komuś przetwarzanie danych, ujawnimy te dane podmiotowi nieuprawnionemu. I w drugą stronę – jeżeli to ktoś chce nam powierzyć przetwarzanie danych, a my tego nie robimy (pamiętajmy jednak o szerokiej definicji „przetwarzania”), niepotrzebnie przyjmujemy na siebie szereg obowiązków jako podmiot przetwarzający.
Jednak przy całym tym zamieszaniu, pewne sytuacje bez żadnych wątpliwości będą się wiązały z powierzeniem danych do przetwarzania. Tak będzie w przypadku wspomnianych już usług księgowo-kadrowych, a także w przypadku hostingu.
W przypadku hostingu (np. poczty elektronicznej albo strony www, za pośrednictwem której dochodzi do przetwarzania danych osobowych), hostingodawca najczęściej ma dostęp do danych (chociaż nie zawsze), przechowuje je, czasami wykonuje kopie bezpieczeństwa. GIODO, jeszcze pod rządami starych przepisów, prezentował nadal aktualne stanowisko w sprawie hostingu: każdorazowe utrzymywanie danych osobowych w ramach hostingu czy to na serwerze wirtualnym czy dedykowanym, w chmurze czy też klastrze, jest faktycznym przetwarzaniem danych osobowych, nawet gdy hostingodawca umowy powierzenia podpisać nie chce. W przypadku „dużych” hostingodawców raczej nie spotkamy się z problemem braku umowy, ale możemy się spotkać z problem jej treści. Nagminnym jest, że hostingodawcy ograniczają swoją odpowiedzialność za powierzone dane, np. do wysokości jednomiesięcznego/rocznego wynagrodzenia. Co więcej, jeden z renomowanych hostingodawców – nazwa.pl – wprowadził opłatę w wysokości 500 zł miesięcznie za „powierzenie danych do przetwarzania”. Wydaje się, że inny z kolei nie do końca zrozumiał swoje obowiązki (i prawa) podmiotu przetwarzającego i wprowadził (omyłkowo?) do umowy zapis, z którego w moim przekonaniu wynika, że powierzone dane osobowe będą przetwarzane nie tylko w celu świadczenia usług hostingu, ale także np. w celu ustalenia i obrony oraz dochodzenia roszczeń, marketingu bezpośredniego, wystawienia dokumentów księgowych, itd. Zupełnie niezrozumiałym jest dla mnie, dlaczego np. dane moich klientów, które przechowuję na hostowanym serwerze, miałyby zostać wykorzystane przez hostingodawcę do czegoś więcej niż właśnie ich przechowywanie, w szczególności do marketingu, czy wystawienia dokumentów księgowych na rzecz mojego (!) klienta.
Do problemów związanych z powierzeniem danych do przetwarzania i ich udostępnianiem będziemy jeszcze powracać w kolejnych wpisach. W szczególności przyjrzymy się szczegółowo temu zagadnieniu w podmiotach prowadzących działalność leczniczą.
Aleksandra Otok – Zagajewska
radca prawny