top of page
Zdjęcie autoraMichał Nosowski

Subprocesorzy w praktyce, czyli jak powinno wyglądać dalsze powierzenie przetwarzania danych

Zaktualizowano: 27 lis 2023


ludzie rozmawiający w nowoczesnym biurze

Pytania o to, jak uregulować kwestię korzystania z usług zewnętrznych dostawców IT w kontekście zgodności z przepisami RODO, trafiają do mnie dość regularnie. Nie jest sekretem, że taki dostawca często bierze udział w procesie przetwarzania danych, wykorzystywanych przez administratora.


Co więcej, on sam może korzystać z wsparcia innych usługodawców, do których też mogą trafić dane osobowe. To zaś wymaga odpowiedniego uregulowania w umowie powierzenia przetwarzania danych. Jak sobie powinien z tym poradzić administrator? Na co można się zgodzić a na co nie?


Na początek ustalmy kto jest kim. W takim „łańcuszku przetwarzania” biorą udział co najmniej 3 podmioty:

  • administrator – czyli ten, który zadecydował o tym, że dane są przetwarzane w jakimś określonym celu oraz ustalił (choćby ogólnie) sposób ich przetwarzania. Administratorem będzie przykładowo pracodawca w stosunku do danych swoich pracowników, albo właściciel sklepu internetowego w stosunku do klientów tego sklepu,

  • podmiot przetwarzający (procesor) – to zewnętrzny usługodawca, który realizuje jakieś czynności dla administratora. Czynności te oczywiście muszą mieć jakiś związek z przetwarzaniem danych osobowych. Podmiotem przetwarzającym będzie np. hostingodawca, który w ramach usługi przechowuje dane osobowe zamieszczone na serwerze przez swojego klienta,

  • dalszy podmiot przetwarzający – to ten podmiot, który nie świadczy usług bezpośrednio dla administratora, ale robi coś dla podmiotu przetwarzającego (procesora). W związku z tymi czynnościami może mieć dostęp do danych osobowych pochodzących od administratora.

Jeśli chcesz dowiedzieć się więcej o relacji administrator – podmiot przetwarzający to zapraszam Cię tutaj.


Kto z kim powinien zawrzeć umowę powierzenia przetwarzania danych?


Zacznijmy od podstaw – RODO wymaga tego, aby administrator i podmiot przetwarzający zawarli umowę powierzenia przetwarzania danych.


To oznacza, że takiej umowy nie zawiera bezpośrednio administrator z subprocesorem (dalszym podmiotem przetwarzającym). Piszę o tym, bo takie sugestie widziałem w umowach powierzenia – zakładały one, że jeżeli podmiot przetwarzający będzie chciał skorzystać z wsparcia subprocesora, to powinien najpierw doprowadzić do tego aby administrator i subprocesor zawarli ze sobą odrębną umowę powierzenia, oczywiście na warunkach wskazanych przez administratora. W umowach powierzenia zasada „im więcej tym lepiej” nie zawsze działa i takie wciskanie zabezpieczeń dla administratora na siłę nie ma większego sensu.


Zasady korzystania z subprocesorów – zgoda administratora


Kluczową kwestią związaną z wykorzystaniem subprocesorów, jest zgoda administratora na korzystanie z dalszych podmiotów przetwarzających. RODO mówi, że zgoda taka może być:

  • szczególna – czyli umożliwiać skorzystanie z wsparcia konkretnego subprocesora (zgoda powinna wskazywać o jaki podmiot konkretnie mam chodzi),

  • ogólna – czyli wskazywać na generalną możliwość korzystania z subprocesorów.


Taka zgoda może zostać wyrażona bezpośrednio w umowie powierzenia. Nie ma jednak przeszkód aby zrobić to później, nawet gdyby w umowie powierzenia nic na temat subprocesorów nie było.


Zgoda powinna być wyrażona w formie pisemnej. Ta forma pisemna powinna być rozumiana przez pryzmat wymogów wynikających z RODO, nie z polskiego prawa. Oznacza to, że wymóg formy pisemnej spełnimy również np. wysyłając sobie skany dokumentu albo przesyłając zgodę mailem.


W ten sam sposób możemy zresztą zawrzeć całą umowę powierzenia. W konsekwencji, dopuszczalne jest udzielenie takiej zgody np. poprzez akceptację odpowiedniego dokumentu na stronie internetowej dostawcy usługi, tak jak np. akceptujemy regulaminy platform internetowych.



budynki miejskie z lotu ptaka


Kilka słów o zgodzie szczególnej i ogólnej


W przypadku zgody szczególnej, podmiot przetwarzający musi uzyskać oddzielną akceptację administratora co do każdego z dalszych podmiotów przetwarzających. Można to osiągnąć np. poprzez każdorazowe wskazanie subprocesorów w załączniku do umowy, zawieranej z administratorem i wskazanie w umowie, że jej podpisanie należałoby uznać za zgodę szczególną na korzystanie z pomocy takich subprocesorów.


Oczywiście, w razie pojawienia się potencjalnych nowych subprocesorów, należałoby ponownie przejść przez proces wyrażenia zgody przez administratora. Przepisy RODO wskazują, że zgoda musi być „uprzednia”. To oznacza, że zgoda musi zostać udzielona jeszcze zanim dojdzie do skorzystania z usług dalszych podmiotów przetwarzających.


Zgoda ogólna dotyczy generalnej akceptacji tego, że procesor będzie korzystał z usług subprocesorów w związku z realizacją usług na rzecz administratora. Przy wyborze tego modelu współpracy, na podmiocie przetwarzającym spoczywa dodatkowy obowiązek – musi on informować administratora o wszelkich planowanych zmianach co do korzystania z usług nowych lub innych dalszych podmiotów przetwarzających.


Tu pojawia się pewien problem – bo w przypadku udzielenia zgody ogólnej administrator może nie mieć świadomości do kogo finalnie trafiają jego dane. To jest zresztą powszechne w umowach powierzenia - administrator udziela zgody ogólnej, nie pytając podmiotu przetwarzającego o to z jakich dalszych podmiotów przetwarzających korzysta w momencie zawarcia umowy. Podmiot przetwarzający uznaje więc, że ma zgodę na wszystkich subprocesorów, z którymi współpracował w momencie zawarcia umowy powierzenia.


Teoretycznie, administrator mógłby zażądać takich informacji później, np. w związku z realizacją audytu u podmiotu przetwarzającego, acz to i tak ogranicza możliwość dokonania przez administratora prawidłowej oceny tego, czy działania procesora są prawidłowe.


Czy to jest wystarczające? Europejska Rada Ochrony Danych (EROD) uznała, że nie i w swoich wytycznych (07/2020 - pkt 154) sugeruje, aby lista subprocesorów i tak była dostarczona do administratora w momencie zawarcia umowy powierzenia. Celem takiego działania ma być umożliwienie administratorowi podjęcie świadomej decyzji co do poszczególnych subprocesorów i realizacji zasady rozliczalności wyrażonej w RODO.


To zaś oznacza, że nawet opierając się o model zgody ogólnej administrator powinien mieć wiedzę o tym kto jest subprocesorem już w momencie wyrażenia takiej zgody. To z kolei zbliża oba modele zgody (ogólnej i szczególnej) do siebie.


Czym się więc różni zgoda ogólna od szczególnej? Tym, co się dzieje w sytuacji pojawienia się nowych subprocesorów – w przypadku zgody szczególnej konieczne jest bowiem uzyskanie kolejnego oświadczenia administratora o zgodzie. W sytuacji udzielenia zgody ogólnej wystarczające jest natomiast to, że administrator nie wyrazi sprzeciwu wobec skorzystania z wsparcia takiego subprocesora.


Sprzeciw


W przypadku wyrażenia zgody ogólnej podmiot przetwarzający powinien informować administratora o:

  • każdej zmianie subprocesora (czyli zastąpienia jednego subprocesora innym),

  • dodaniu nowego subprocesora.

Administrator w takim wypadku powinien mieć prawo do wyrażenia sprzeciwu wobec dodania lub zmiany takiego subprocesora.


Przepis jest skonstruowany tak, że sama informacja o chęci dodania lub zmiany dalszego podmiotu przetwarzającego powinna być przekazana zanim dane osobowe zostaną przekazane takiemu subprocesorowi. Administrator powinien mieć czas na wyrażenie sprzeciwu przed tym, jak podmiot przetwarzający zacznie rzeczywiście korzystać ze wsparcia subprocesora.


To istotne, bo niekiedy podmioty przetwarzające próbują przemycić w umowach powierzenia klauzule wskazujące np. na to, że aktualna lista podprocesorów jest na stronie internetowej, a administrator, korzystając z usług, wyraża zgodę na przekazywanie danych do takich subprocesorów. Tymczasem prawidłowym działaniem byłoby aktywne działanie procesora, mające na celu przekazanie administratorowi informacji o planowanym dodaniu lub zmianie subprocesora.


Możliwe jest natomiast przyznanie administratorowi określonego terminu na ewentualny sprzeciw, którego brak uznawany jest za akceptację danego subprocesora. Ważne jest to, aby postanowieniami umownymi nie pozbawić faktycznie administratora jego uprawnień – dla przykładu, przyznanie administratorowi kilkugodzinnego okresu na sprzeciw byłoby zbyt daleko idące.


W niektórych sytuacjach możliwe jest uzależnienie dalszego korzystania z usług procesora (np. umowy o świadczenie usług IT) od braku sprzeciwu wyrażonego przez administratora. Dotyczy to np. sytuacji gdy procesor nie miałby realnej możliwości świadczenia usług bez korzystania z pomocy dalszych podmiotów przetwarzających. W takim przypadku jednak warto uregulować w umowie to co się dzieje w przypadku zakończenia współpracy na tej podstawie – np. obowiązek zwrotu uiszczonego przez administratora na rzecz procesora wynagrodzenia za niewykorzystaną część usług.


Brak jakiejkolwiek zgody


Oczywiście umowa powierzenia może jednoznacznie wskazywać, że administrator kategorycznie nie wyraża zgody na korzystanie z usług jakichkolwiek dalszych podmiotów przetwarzających. W praktyce jednak to rzadko spotykane rozwiązanie – korzystanie z różnego rodzaju podwykonawców jest bowiem powszechne i administrator często nie może oczekiwać np. od podmiotu z branży IT, że ten wszystko zrobi sam.


Dodatkowe kwestie warte uregulowania


Poza uregulowaniami wskazanymi bezpośrednio w RODO, umowa powierzenia może uszczegóławiać zasady korzystania przez procesora z dalszych podmiotów przetwarzających. Może to obejmować zwłaszcza następujące uregulowania:

  • zawarcie w treści umowy powierzenia (albo w załączniku) minimalnych wymogów dotyczących odpowiednich zabezpieczeń danych osobowych przez subprocesora (np. wskazania konieczności posiadania określonych procedur, przestrzegania zasad dostępu do systemów IT, nadawania uprawnień w tych systemach itp.) – takie rozwiązanie jest dopuszczalne, co nie oznacza, że zawsze jest dobre. Administrator powinien mieć świadomość, że charakter działania subprocesora może się diametralnie różnić od jego działalności. Tym samym nie każde zabezpieczenie, które z punktu widzenia administratora, będzie zasadne, może być skutecznie stosowane przez subprocesora. Niekiedy lepiej jest po prostu wskazać, że procesor powinien zobowiązać subprocesorów do odpowiedniego zabezpieczenia danych osobowych i pozostawić szczegóły do ustalenia pomiędzy procesorem a subprocesorem,

  • wskazanie zasad odpowiedzialności podmiotu przetwarzającego za niezgodne z prawem przetwarzanie danych przez dalszy podmiot przetwarzający – standardem jest zawarcie w umowie powierzenia informacji, że za ewentualne nieprawidłowości po stronie subprocesora odpowiada bezpośrednio procesor. Tego rodzaju podejście jest zgodne z treścią przepisów RODO.

Audyty dalszego podmiotu przetwarzającego


Teoretycznie możliwe jest przyznanie administratorowi prawa do przeprowadzania bezpośrednich kontroli i audytów subprocesora. Tym samym, procesor w umowie powierzenia zobowiązuje się do tego aby w każdej umowie z subprocesorem była zagwarantowana możliwość realizacji audytu subprocesora bezpośrednio przez administratora. To nie jest obowiązek wynikający bezpośrednio z RODO, a jedynie dodatkowa regulacja, która może być zawarta w umowie pomiędzy stronami. Nie zawsze jednak taki wymóg będzie możliwy do spełnienia, zwłaszcza w sytuacji gdy procesor korzysta np. z ustandaryzowanych usług informatycznych. W takim przypadku zawarcie dodatkowej klauzuli audytowej w umowie powierzenia pomiędzy procesorem a dalszym podmiotem przetwarzającym może okazać się niemożliwe.


Niezależnie od tego, administrator i procesor mogą wskazać w umowie, że na żądanie administratora, procesor przeprowadzi audyt dalszego podmiotu przetwarzającego, wykonując swoje uprawnienia wynikające z umowy powierzenia, a następnie poinformuje administratora o wynikach. Tego rodzaju możliwość zapewnia administratorowi stosunkowo dużą kontrolę nad całym procesem przetwarzania, a jednocześnie nie narzuca na podmiot przetwarzający obowiązków, których nie może spełnić.


Potencjalne kary


Podmiot przetwarzający oczywiście musi zawrzeć z dalszymi podmiotami przetwarzającymi odpowiednie umowy powierzenia, spełniające wymogi wynikające z przepisu art. 28 ust. 3 RODO. W innym przypadku może na niego zostać nałożona kara. Przykładowo, francuski organ nadzorczy (CNIL) jako jeden argument uzasadniający nałożenie kary w wysokości 180 tys. euro na pośrednika płatności SLIMPAY wskazał nieodpowiednio zawarte umowy z dalszymi podmiotami przetwarzającymi. Konkretyzując, chodziło o brak wszystkich postanowień, które powinny się znaleźć w zawieranych umowach, które miały zapewnić, że subprocesorzy będą przetwarzać dane zgodnie z RODO.


Podsumowanie


Korzystanie z usług dalszych podmiotów przetwarzających jest powszechne. A prawidłowe regulowanie relacji pomiędzy administratorem, procesorem oraz subprocesorem w umowach powierzenia nie jest trudne, więc warto przyswoić sobie wymogi wynikające z RODO i je na bieżąco realizować.


Chciałbyś dowiedzieć się więcej na temat umów powierzenia przetwarzania danych? Jeśli masz jakieś dodatkowe pytania, możesz śmiało się ze mną skontaktować, pisząc na kontakt@bytelaw.pl, albo korzystając z formularza kontaktowego tutaj.



Comments


Image by Scott Rodgerson

Wśród danych

Blog dla przedsiębiorców działających w cyfrowym świecie

michał nosowski

O Autorze:

Nazywam się Michał Nosowski i jestem radcą prawnym specjalizującym się w prawie nowych technologii. Stworzyłem tego bloga po to aby dzielić się swoją pasją - czyli badaniem styku świata IT oraz prawa.

 

W ramach kancelarii ByteLaw, której jestem współzałożycielem, pomagam głównie startupom, software house'om, freelancerom i ludziom zajmującym się marketingiem internetowym. Jeśli chcesz dowiedzieć się więcej, zapraszam do odwiedzenia strony Kancelarii.

O czym piszę najczęściej?  RODO | Umowy IT | Prawo autorskie | Prawo nowych technologii.

Zachęcam do obserwowania moich profili w mediach społecznościowych:

  • Facebook
  • LinkedIn
  • YouTube
Masz jakieś pytania? Możesz się ze mną skontaktować przez poniższy formularz

Wiadomość przesłana! Dziękuję :)

bottom of page