Tak, tak, RODO nadal obowiązuje, RODO nadal się stosuje, a to że umilkło o nim w Internetach, bynajmniej nie świadczy o tym, że RODO zniknęło 🙂
A że robiąc ostatnio audyt RODO w jednej restauracji naszła mnie jedna bardzo ważna myśl, chciałabym się podzielić nią z Tobą w dzisiejszym wpisie, gdyż wydaje mi się, że to problem, o którym większość z Was nie wie i z którego większość z Was w ogóle nie zdaje sobie sprawy.
A absolutnie nie powinno tak być, bo ta nieświadomość może Cię wpędzić w niemałe kłopoty.
Tytuł dzisiejszego wpisu na początku może być dla Ciebie nie do końca zrozumiały, ale jak doczytasz do końca to na pewno będziesz już dokładnie wiedział o co chodzi. I choć tłumaczenie instytucji powierzenia danych osobowych nieraz nastręcza pewnych trudności nawet w bezpośrednim spotkaniu, postaram się dziś napisać o tym najprościej jak to możliwe 🙂
Myślę, że dla żadnego z moich Czytelników nie jest tajemnicą, że w przetwarzaniu danych osobowych mamy również do czynienia z sytuacją, w której to przetwarzanie jest „zlecane innemu podmiotowi”, a więc my jako administrator danych osobowych zlecamy innemu podmiotowi przetwarzanie tych danych, ale to my w dalszym ciągu decydujemy o celach takiego przetwarzania, zakresie, itd. Oficjalnie nazywa się to powierzeniem przetwarzania danych osobowych. Aby takie powierzenie „miało moc” musimy zawrzeć na piśmie umowę, która powinna obejmować ściśle określone w RODO informacje.
Przykładem takiej umowy i takiego przekazania jest zazwyczaj, powierzenie przetwarzania prowadzenia kadr i księgowości do biura rachunkowego. Takie biuro rachunkowe nie jest administratorem tych danych, przetwarza je wyłącznie na nasze polecenie, w określonym przez nas celu i zakresie.
Ty jako restaurator – pracodawca jesteś wówczas administratorem danych osobowych swoich pracowników, zaś biuro księgowe działa jako procesor – podmiot przetwarzający powierzone mu dane osobowe.
Zawarta pomiędzy Wami umowa powinna zaś określać m.in., jakie obowiązki w zakresie ochrony powierzonych mu danych osobowych przyjęło na siebie biuro rachunkowe – jakie stosują zabezpieczenia, czym mają alarm, czy stosują hasła, programy antywirusowe, itd. itp.
Myślę, że taka umowa z biurem księgowym nikogo nie dziwi i jest dość powszechnie znana. Wiele osób zdaje sobie sprawę z konieczności jej posiadania w sytuacji, w której powierzamy prowadzenie kadr podmiotowi zewnętrznemu. Choć widziałam oczywiście podmioty, zarówno z branży gastronomicznej, jak i innych branż, które przekazują dane osobowe swoich pracowników bez jakiejkolwiek umowy, co jednoznacznie należy ocenić jako sytuację fatalną i do natychmiastowej poprawki! 🙂
Drugim problemem może być też to, że często takie wzory umów są podsuwane przez samo biuro księgowe i – umówmy się – nie do końca chronią Twój interes jako administratora, dlatego moja druga rada brzmi – zaproponuj swój własny projekt umowy powierzenia przetwarzania danych osobowych, który należycie ochroni Cię jako podmiot, który przekazuje posiadane na zewnątrz, jakby na to nie patrzeć.. A więc powinien dopilnować, aby w tym nowym miejscu dane te również były należycie chronione.
Oczywiście sytuacji, kiedy to Ty jako administrator danych powierzasz przetwarzanie danych osobowych jest o wiele więcej, ale.. ale dzisiejszy post jest zupełnie o czym innym!
To znaczy może nie do końca o czym innym, ale o zupełnie odwrotnej sytuacji, w której to Ty przetwarzasz dane, które ktoś Ci powierzył, przetwarzanie których ktoś Ci powierzył. Bo zdarza się oczywiście i taka sytuacja 🙂
I Ty musisz na tę sytuację bardzo uważać, a przekonał mnie o tym, jak Ci wspominałam, przypadek Pani Pauliny, u której ostatnio wdrażałam RODO. Otóż Pani Paulina chciała wykupić swoim pracownikom dodatkowe świadczenia medyczne. W tym celu podpisała umowę z jednym ze znanych centrów medycznych świadczących prywatną opiekę zdrowotną, opłacała odpowiednie składki, pracownicy korzystali z przysługujących im uprawnień i pozornie cała ta współpraca przebiegała wręcz wzorcowo.
Pani Paulina nie do końca jednak zwróciła uwagę na to, że załącznikiem do umowy opieki medycznej było porozumienie w sprawie powierzenia przetwarzania danych osobowych, które nakładało na nią konkretne obowiązki, takie jak:
- Pracodawca zobowiązuje się do stosowania środków technicznych i organizacyjnych zapewniających ochronę danych osobowych oraz adekwatnych do rodzaju powierzonych danych osobowych oraz ryzyka naruszenia praw wolności osób, których dane osobowe dotyczą.
- Pracodawca zapewnia, że każda osoba, która ma dostęp do danych osobowych działa z jego upoważnienia i została zobowiązana do zachowania danych osobowych oraz sposobów ich zabezpieczenia w tajemnicy.
- Pracodawca zobowiązuje się niezwłocznie przekazywać informacje dotyczące przypadków naruszenia ochrony danych osobowych.
- Pracodawca zobowiązuje się pomagać w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO (???).
- Pracodawca zobowiązuje się pomagać w realizacji praw uprawnionych, o których mowa w art. 15-22 RODO (???).
Jak widać są to obowiązki różnego typu. O ile oczywiste powinno być, że musisz zawiadomić administratora danych osobowych o jakimkolwiek naruszeniu ochrony danych osobowych (obowiązek nr 3), o tyle obowiązki 4 i 5, czyli pomoc w wypełnianiu realizacji praw przysługujących osobom, których dane dotyczą (art. 15-22 RODO) czy pomoc w dokonywaniu zawiadomień na wypadek jakiegoś incydentu, już takie oczywiste nie są. Nie mówiąc już o tym, że wielu z Was z pewnością same numery tych artykułów absolutnie nic nie mówią. Stąd te znaki zapytania 😉
A mamy jeszcze obowiązek nr 1 i 2, z czego ten pierwszy określony jest naprawdę bardzo ogólnie. No bo jakie to adekwatne środki? O jakie środki organizacyjne i techniczne chodzi? Powiem tak. Jeżeli wdrożyłeś u siebie RODO, określiłeś jakie sam stosujesz środki bezpieczeństwa (hasła, alarmy, monitoringi, zobowiązania do zachowania poufności, itd…) na pewno będzie Ci prościej. Musisz wtedy stosować przyjęte u siebie zasady również do tych danych osobowych, w stosunku do których jesteś tylko podmiotem przetwarzającym.
Jeżeli natomiast nie wdrożyłeś do tej pory RODO i nie stosowałeś żadnych zabezpieczeń, założę się niestety że nie będzie również w żaden szczególny sposób chronił powierzonych Ci danych osobowych. I tu może czekać na Ciebie pułapka podobna do Pani Pauliny.
Pani Paulina zobowiązała się bowiem, że będzie stosowała środki ochrony, w tym zobowiąże pracowników do zachowania w tajemnicy uzyskanych informacji już maju tego roku, a RODO zdecydowała się wdrożyć… w listopadzie. Pomiędzy jednym a drugim minęło zatem prawie pół roku, w trakcie których te obowiązki na nią nałożone w zasadzie nie były realizowane. Oczywiście, dopóki nic się nie działo, nie miało to również żadnych konsekwencji. Gdyby jednak jakiś incydent miał miejsce, administrator na pewno wytknąłby wszystkie jej zaniechania, zaś Pani Paulina miała ograniczone pole manewru co do własnej obrony.
Wyobraź sobie teraz, że incydent ma charakter osobowy, ktoś po prostu miał za długi język i rozprawiał o tych danych osobowych poza pracą, a Pani Paulina nie miała pisemnego zobowiązania do zachowania tajemnicy przez podpisanego przez swoich pracowników.Czy będzie w stanie udowodnić, że dobrze zadbała o te dane osobowe i prawidłowo wywiązała się z obowiązku zobowiązania pracowników do zachowania poufności? Może mieć z tym naprawdę duże trudności.
Konstrukcja współpracy i inne tego typu umowy
Pokazuję Ci to wszystko na przykładzie opieki medycznej dla pracowników, ale podobną konstrukcję mają przykładowo wszelkiego rodzaju świadczenia dodatkowe, takie jak multisport czy dodatkowe grupowe ubezpieczenie.
Sama treść porozumienia i konstrukcja takiej współpracy nie dziwi, gdyż faktycznie w takiej sytuacji administratorem danych osobowych jest podmiot świadczący dane usługi (to on jest głównym przetwarzającym, decyduje o celach i sposobie przetwarzania tych danych), to że my zlecamy mu opiekę medyczną nad naszymi pracownikami czy też chcemy żeby ich ubezpieczył nie czyni z nas administratorów tych danych. Przeciwnie, to placówka medyczna czy ubezpieczyciel zleca nam (jako podmiotowi przetwarzającemu) takie czynności na danych osobowych jak:
- zbieranie pisemnych deklaracji przystąpienia przez pracowników do danego programu,
- niezwłoczne przekazywanie deklaracji przystąpienia (zawierających dane osobowe) administratorowi,
- przechowywanie zebranych deklaracji przystąpienia i ich archiwizacja,
- aktualizacja danych osobowych zawartych w deklaracjach przystąpienia.
Zlecenie wykonania tych operacji przetwarzania danych następuje, zgodnie z RODO, w formie pisemnej. Ta umowa z pewnością będzie nakładała na nas szereg obowiązków, o których pisałam już nieco wyżej.
Dlatego też gorąco zachęcam Cię, abyś po przeczytaniu tego artykułu, o ile już tego nie zrobiłeś, gruntownie przejrzał zawarte umowy powierzenia przetwarzania danych osobowych i sprawdził, czy na pewno wypełniasz wszystkie obowiązki, które na siebie (być może nieświadomie) przyjąłeś.
Zakładam, że taka będzie podpisana, bo jeżeli chodzi o podmioty zapewniające takie dodatkowe świadczenia pracownicze, zazwyczaj korzystamy z dużych podmiotów, które wdrożyły RODO i przed 25 maja pilnowały tego, żeby dostosować obowiązujące umowy do zmieniających się przepisów.
Jeżeli jednak współpracujesz z jakimś małym, lokalnym podmiotem albo jeżeli w ogóle w ogóle do tej pory nie analizowałeś zawartych przez Ciebie umów pod kątem przekazania danych osobowych, najwyższy czas nadrobić zaległości.
Tak jak opisałam to w tym poście na podstawie sytuacji Pani Pauliny, pewne przeoczenie, odłożenie tego tematu na bok, gdyby doszło do jakiegoś incydentu związanego z ochroną danych osobowych mogłyby mieć dla niej bardzo przykre konsekwencje. Jeżeli zaś do incydentu by doszło, a Pani Paulina byłaby w stanie wykazać, że prawidłowo realizowała nałożone na nią obowiązki, wówczas jej wina i odpowiedzialność na pewno byłyby zupełnie inaczej postrzegane.
Pisałam Ci już o RODO wielokrotnie, więc pewnie o tym wiesz, ale może ktoś zaczyna dopiero czytanie bloga od tego artykułu, więc napiszę raz jeszcze: zasada rozliczalności – a więc możliwość wykazania stosowania odpowiednich środków, aby ochronić przetwarzane dane osobowe – jest w RODO bardzo ważna. I chroni Cię na wypadek jakiegokolwiek wycieku danych osobowych. Niebotyczne i bardzo eksponowane w okresie wiosennym kary za naruszenie RODO nie są bowiem nakładane metodą zero jedynkową, gdyby przyszło do ich wymierzania zawsze trzeba będzie również wziąć pod uwagę to, czy i jak bardzo staraliśmy się przetwarzane przez nas dane osobowe ochronić. Zawsze.
PS. Od powierzenia przetwarzania musimy odróżnić przekazanie czy też udostępnienie danych osobowych, ale to temat na zdecydowanie inny wpis.
PS nr 2. Aż sama jestem ciekawa, czy lubicie jeszcze czytać o RODO? 🙂
{ 0 komentarze… dodaj teraz swój }