Kontakt

O portalu | Widżet | Regulamin portalu

Doradca Dyrektora

Powierzanie i podpowierzanie danych osobowych w szkole

Z podpowierzaniem danych osobowych będziemy mieć do czynienia w sytuacji,

„w której podmiot, któremu powierzono przetwarzanie na podstawie art. 31 ustawy o ochronie danych osobowych (przetwarzający, procesor) dalej powierza ich przetwarzanie kolejnemu podmiotowi lub podmiotom (podwykonawca, subprocesor)”[1].

Rozwiązanie takie stanowi częstą praktykę, a jej przykłady spotykamy nieustannie w życiu codziennym. Na przykład: podmiot A zleca podmiotowi B wykonywanie czynności w zakresie jego obsługi księgowo-kadrowej. Podmiot B zaś, aby skupić się na swoich zadaniach, podzleca podmiotowi C administrowanie systemem księgowo-kadrowym oraz hosting systemu wraz z bazą danych. Tym samym podmiot B powierza dalej przetwarzanie danych osobowych, które sam przetwarza na zlecenie administratora danych.

Podpowierzanie danych osobowych stanowi szeroką i skomplikowana materię. Dlatego w niniejszym artykule skupimy się jedynie na kwestii dopuszczalności podejmowania przez procesorów wspomnianych działań, jak również warunków, jakie muszą zostać spełnione, aby można było mówić o prawidłowym podpowierzeniu danych.

Legalność podpowierzania przetwarzania danych osobowych

Mimo powszechności tego rodzaju działań instytucja podpowierzania danych do chwili obecnej nie doczekała swojego uregulowania ani w polskiej ustawie o ochronie danych osobowych[2], ani w przepisach dyrektywy nr 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych[3]. Nie ulega jednak wątpliwości, że mimo powyższego polska doktryna prawna w sposób zdecydowany przyjęła stanowisko o dopuszczalności podobnych działań.

Stanowisko o dopuszczalności podpowierzenia danych osobowych do przetwarzania daje się uzasadnić w następujący sposób:

  1. Treść art. 31 ust. 2 ustawy u.o.d.o.

Zgodnie z przywołanym przepisem procesor może przetwarzać dane powierzone mu przez administratora jedynie w zakresie i celu przewidzianym w zawartej między nimi umowie. Uznać zatem należy, iż skoro administrator i przetwarzający są zobowiązani do określenia w umowie zakresu przetwarzania danych, to jednocześnie mają prawo wskazać kolejny podmiot (subprocesor), któremu przekażą dane i który będzie miał prawo do wykonywania na nich określonych czynności[4].

  1. Treść art. 31 ust. 1 ustawy u.o.d.o.

Zgodnie z przywołanym przepisem administrator może powierzyć przetwarzanie danych innemu podmiotowi w drodze umowy zawartej na piśmie. Dokonując analizy przywołanego przepisu należy stwierdzić, iż przez „inny podmiot”  należy rozumieć nie tylko procesora, ale także subprocesora. W kontekście tym słuszne wydaje się stanowisko D. Karwali, który wskazuje, że „(…) rozumowaniu temu nie sprzeciwia się wyraźne ustawowe wskazanie, iż to „administrator danych może powierzyć”  przetwarzanie danych, z uwagi na to, że również ewentualne podpowierzenie wymaga podjęcia decyzji przez administratora danych, tzn. wyrażenia przez niego zgody.”[5]

  1. Stanowisko Generalnego Inspektora Ochrony Danych Osobowych

Dopuszczalność omawianego rozwiązania została wyrażona w porozumieniu zawartym 28 stycznia 2008 r. pomiędzy Generalnym Inspektorem Ochrony Danych osobowych a Stowarzyszeniem Marketingu Bezpośredniego. Punkt 5.4 Kodeksu Dobrych Praktyk w Zakresie Przetwarzania Danych Osobowych stanowiącego załącznik do zawartego porozumienia przewiduje, że „procesor może powierzyć innemu podmiotowi wykonywanie niektórych czynności wchodzących w zakres czynności przetwarzania danych osobowych powierzonych przez administratora danych osobowych (podpowierzenie przetwarzania danych osobowych) wyłącznie wtedy, jeżeli możliwość taka wynika z umowy zawartej przez pocesora z administratorem danych”. Podkreślenia wymaga także fakt, że GIODO nie podważa legalności podpowierzania danych  w prowadzonych przez siebie postępowaniach indywidualnych.

  1. Opinia Grupa Robocza Art. 29 dyrektywy 95/46/WE

Na poziomie unijnym, w ramach Grupy Roboczej Art. 29 dyrektywy 95/46/WE podniesiono, iż „coraz częściej zdarza się, że administrator danych zleca przetwarzanie danych osobowych kilku przetwarzającym. Przetwarzający mogą być bezpośredni powiązani z administratorem danych lub być podwykonawcami, którym przetwarzający dane przekazał część powierzonych mu działań w zakresie przetwarzania danych. (…) Żaden z przepisów dyrektywy nie zabrania tego.”[6]

Warunki podpowierzenia przetwarzania danych osobowych

Jak podkreśla P. Barta i P. Litwiński[7], aby praktykę podpowierzania danych osobowych uznać za dopuszczalną, musi zostać spełniony jeden z poniższych warunków:

  • w treści umowy powierzenia danych osobowych zawartej między administratorem a procesorem zostały wskazane co do tożsamości podmioty, które będą działać jako podwykonawcy procesor lub
  • w toku wykonywania umowy powierzenia danych osobowych procesor w przypadku chęci skorzystania z usług podwykonawcy będzie zobowiązany uzyskać zgodę administratora. Zgoda musi dotyczyć konkretnego podmiotu oraz konkretnych operacji, jakie może wykonywać na danych subprocesor.

Jednocześnie za Bartą i Litwińskim należy zgodnie wskazać, że przetwarzanie danych przez subprocesora musi zawsze pozostawać w granicach celu i zakresu  przetwarzania danych osobowych określonych w umowie zawartej między administratorem a procesorem.

W praktyce możemy spotkać się także z generalnym upoważnieniem procesora do dalszego powierzania danych osobowych bez obowiązku konkretnego wskazywania podmiotu, któremu dane zostaną faktycznie powierzone. Jak słusznie jednak wskazuje Damian Karwala[8], rozwiązanie takie budzi pewne kontrowersje z uwagi na fakt, że może naruszać art. 38 ustawy u.o.d.o., a także godzić w obowiązek szczególnej staranności administratora danych wyrażony w art. 26 ust. 1 ustawy u.o.d.o.

Dlaczego praktyka podpowierzania jest coraz popularniejsza? Czy jako Dyrektor szkoły powinienem się na nią godzić?

W dobie chmurowych (dostępnych z poziomu przeglądarki internetowej) systemów informatycznych funkcjonujących w szkołach, takich jak dzienniki elektroniczne, programy do obsługi szkolnych sekretariatów czy wydruku świadectw każdorazowo dochodzi do powierzenia danych osobowych przez administratora. Powyższe wynika z faktu, że aplikacja, jak również jej baza danych hostowana jest na serwerach, które nie znajdują się w szkole.

Podmioty dostarczające systemy dla szkół zobowiązane są zapewnić m.in. bezpieczeństwo oraz integralność danych, ponosząc wspólnie z administratorem odpowiedzialność za wykonywanie tych czynności.  Nie ulega zatem wątpliwości, że aby zadość uczynić powyższemu obowiązkowi podmioty oferujące wspomniane rozwiązani mają prawo korzystać z doświadczenia oraz zaplecza technicznego podwykonawców, profesjonalnie zajmujących się hostingiem, gwarantujących najwyższą jakość usług.

Właściwą i pożądaną praktyką jest także korzystanie z usług dwóch różnych podmiotów hostujących posiadających własną infrastrukturę techniczną wysokiej jakości oraz wykwalifikowany zespół pracowników. Stosowanie rozwiązań redundantnych minimalizuje bowiem ryzyko nieplanowanych przestojów w dostępie do aplikacji czy utratę wprowadzonych  danych. Nietrudno bowiem wyobrazić sobie sytuację, w której wskutek działania siły wyższej (patrz: pożar, powódź) jeden z podmiotów hostujących wstrzymuje czasowo działalność, a szkoła traci dostęp do wykorzystywanych systemów. Korzystanie z takich dwóch, szczególnie odległych od siebie geograficznie firm pozwala praktycznie wyeliminować takie ryzyko.

Należy jednak jeszcze raz podkreślić, że administrator danych ma prawo (nie obowiązek!) wyrazić zgodę na dalsze podpowierzenie danych przez dostawcę oprogramowania. Powinien jednak upewnić się, że podpowierzenie to jest uzasadnione np. względami bezpieczeństwa, do których może zaliczać się właśnie wykonywanie dodatkowych, redundantnych kopii bezpieczeństwa.

 

Podstawa prawna:

  • [1] G. Sibiga, Podpowierzanie przetwarzania danych osobowych, „Monitor Prawniczy” 2012, nr 7,
  • [2] Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 z późn. zm.) [ u.o.d.o.],
  • [3] Dz. U. UE L nr 281/31 z 23 listopada 1995 r., dalej dyrektywa 95/46/WE,
  • [4] G. Sibiga, Podpowierzanie …, op. cit.,
  • [5] D. Karwala, Podpowierzenie danych osobowych do przetwarzania w relacjach krajowych, „Radca Prawny” 2013, nr 141, s. 16 D,
  • [6] Grupa Robocza  Art. 29, Opinia 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający” z 16 lutego 2010 r., WP 169, s. 29-30; Grupa Robocza Art. 29 w Opinii 05/2012 na temat przetwarzania danych w chmurze obliczeniowej, z 1 lipca 2012 r. WP 196, s. 11-12,
  • [7] P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2016, s. 346-347,
  • [8] D. Karwala, Podpowierzenie danych…,op. cit.,  s. 18 D.

Autor: Marta Roman – Pełnomocnik Zarządu ds. Prawnych firmy Librus

Komentarze do artykułu (0) skomentuj

dodaj do aktówki

Udostępnij:

Bądź na bieżąco!

Nie pozwól, by coś ważnego uszło Twojej uwadze. Jeśli powyższy artykuł jest dla Ciebie interesujący, dodaj podobne artykuły do powiadomień. Możesz również otrzymywać powiadomienia o nowych komentarzach do tego artykułu. Więcej informacji na temat powiadomień oraz szczegółowe ustawienia znajdziesz na podstronie Centrum Powiadomień.

powiadom mnie o podobnych artykułach powiadom mnie o nowych komentarzach

LogowanieZaloguj się aby dodać komentarz

pokaż keystroke

Squla

WSiP

Uniqa

WDB

AIG

Plagiat.pl

MegaMatma

KND

DD

PCG

MEDICOVER

iq.pl

aSc

PayU

AXA

Interrisk

widok klasyczny
x

Ta strona używa cookie i innych technologii. Korzystając z niej wyrażasz zgodę na ich używanie, zgodnie z aktualnymi ustawieniami przeglądarki.