Outsourcing usług w kancelarii komorniczej a RODO

2 kwietnia 2019

Opublikowano przez: Natalia Stojanowska

KATEGORIA: RODO informator

Komornik, w ramach pełnionej służby, organizuje i prowadzi indywidualną kancelarię komorniczą rozumianą jako zespół osób i środków materialnych służących do obsługi komornika w zakresie powierzonych mu zadań i czynności[1]. W tym celu komornik może[2] – z osobami niezbędnymi do obsługi kancelarii oraz podmiotami niezbędnymi do ochrony mienia i pomocy w czynnościach terenowych – zawierać umowy o pracę, umowy o dzieło, umowy zlecenia lub umowy o świadczenie usług[3].

Relatywnie często komornicy korzystają z usług zewnętrznych biur rachunkowo-kadrowych, informatyków czy firm ochroniarskich, zawierając w tym zakresie stosowne umowy. Jako administratorzy danych osobowych[4] muszą oni jednak pamiętać o konieczności pisemnego[5] powierzenia przetwarzania danych osobowych tym podmiotom.

Unijny prawodawca wprowadza dwie alternatywne podstawy powierzenia przetwarzania danych osobowych: umowę, której przedmiotem będzie powierzenie danych osobowych, albo inny instrument prawny[6]. W przypadku podmiotów wymienionych w akapicie drugim podstawą powierzenia będzie umowa[7]. Stronami umowy są administrator i podmiot przetwarzający (podmiot działający na zlecenie administratora) i w praktyce jest ona nazywana umową powierzenia danych osobowych czy też umową o powierzeniu przetwarzania danych osobowych[8].

Należy pamiętać, że w przypadku powierzenia przetwarzania danych osobowych komornik (administrator) nadal decyduje o celu i sposobie przetwarzania powierzonych danych osobowych i jako administrator ponosi odpowiedzialność za spełnienie obowiązków wynikających z unijnego rozporządzenia.

Wybrany zaś przez komornika podmiot przetwarzający (zewnętrzna kadrowa, księgowa, informatyk) jest uprawniony wyłącznie do dokonania powierzonych (zleconych) czynności przetwarzania w sposób i w celu określonym przez administratora. Dodatkowo, podmiot działający na zlecenie administratora i przetwarzający dane w jego imieniu ma obowiązek zabezpieczyć proces przetwarzania danych osobowych.

Nie chodzi zatem o nadanie per se uprawnienia do przetwarzania danych w imieniu administratora, lecz – a może przede wszystkim – do dokonania przez komornika (administratora) świadomego wyboru podmiotu przetwarzającego, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie powierzonych danych osobowych spełniało wymogi unijnego rozporządzenia i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 in fine RODO).

Przez „odpowiednie gwarancje” należy rozumieć w szczególności wiedzę fachową, wiarygodność, posiadane zasoby do wdrożenia środków technicznych i organizacyjnych, w tym spełnienia wymogów bezpieczeństwa przetwarzania. Spełnieniem odpowiednich gwarancji może być również stosowanie przez podmiot przetwarzający zatwierdzonego Kodeksu postępowania, czy też stosowanie zatwierdzonego mechanizmu certyfikacji[9].

Należy pamiętać, że ciężar odpowiedzialności za dokonanie odpowiedniego wyboru podmiotu przetwarzającego spoczywa oczywiście na administratorze (art. 28 ust. 1 RODO).

Przepis art. 28 ust. 3 RODO określa essentialia negotii umowy powierzenia przetwarzania danych osobowych zawarte między administratorem a podmiotem przetwarzającym. Do elementów, które powinna zawierać umowa zalicza się: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, obowiązki i prawa administratora, a także wymogi odnoszące się do podmiotu przetwarzającego, w szczególności wymóg:

– działania wyłącznie na udokumentowanie polecenie administratora;

– zagwarantowania, że osoby upoważnione do przetwarzania zobowiążą się do zachowania tajemnicy, chyba że podlegają one takiemu obowiązkowi z mocy przepisów ustawowych;

– wdrożenia środków technicznych i organizacyjnych odpowiadających kontekstowi przetwarzania i zidentyfikowanemu ryzyku naruszenia praw lub wolności osób fizycznych;

– przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego, tj. powierzenie przetwarzania danych osobowych wyłącznie na podstawie zgody (szczegółowej lub ogólnej) administratora (tzw. zgoda na dalsze powierzenie danych osobowych), nałożenia na ten podmiot (tzw. subprocesora) tych samych obowiązków, które zostały nałożone w umowie o powierzeniu przetwarzania danych na podmiot przetwarzający[10];

– wsparcia, w miarę swoich możliwości, administratora w realizacji wypełniania obowiązków na żądanie osoby, której dane dotyczą, w zakresie wykonywania przez nią przysługujących jej praw, o których mowa w rozdziale III pt. „Prawa osoby, której dane dotyczą” RODO – mając na uwadze charakter przetwarzania;

– wsparcia administratora w realizacji obowiązków wynikających z art. 32–36 unijnego rozporządzenia odnoszących się do bezpieczeństwa przetwarzania, zgłaszania naruszeń ochrony danych organowi nadzorczemu, zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, oceny skutków dla ochrony danych oraz uprzednich konsultacji – uwzględniając charakter przetwarzania oraz dostępne podmiotowi przetwarzającemu informacje;

– zadbania o odpowiednie zakończenie wykonywania operacji na powierzonych danych osobowych poprzez zobowiązanie się do zwrotu wszelkich danych lub ich usunięcia – w zależności od decyzji administratora[11];

– poddania się kontroli prowadzonej przez administratora w celu wykazania spełnienia nałożonych na podmiot przetwarzający w umowie obowiązków wynikających z art. 28 ust. 3 RODO[12].

Powyższe elementy stanowią minimum jakie musi spełniać przedmiotowa umowa, co jednak nie wyklucza uregulowania innych kwestii odnoszących się do procesu przetwarzania danych osobowych w relacji administrator – podmiot przetwarzający, np. ustalenie rozkładu odpowiedzialności za niewykonanie lub nienależyte wykonanie umowy, szczegółowe określenie sposobu kontroli, możliwości rozwiązania stosunku prawnego itp.

Należy również pamiętać, że umowa o powierzeniu przetwarzania danych nie musi stanowić osobnej umowy (odrębnego dokumentu), jej postanowienia mogą być zawarte w umowie głównej, której przedmiotem będzie nie tylko świadczenie określonych usług, np. usług kadrowo-płacowych, ale również (ściśle z nimi związanych) przetwarzanie danych osobowych.

Nie można również zapominać, że zgodnie z ogólną zasadą, określoną w art. 82 ust. 2 RODO, każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym unijne rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom[13].

 

[1] Art. 7 ust. 1 i 2 ustawy z dnia 22 marca 2018 r. o komornikach sądowych (Dz.U. z 2018 r., poz. 771 ze zm.); dalej jako „ustawa”.

[2] W ocenie B. Falkowski nie można czynić zarzutu komornikowi, że nie zatrudnia pracowników pod warunkiem, że nie będzie to miało wpływu na prowadzone przez niego postępowania i realizowane czynności (zob. F. Falkowski, art. 7 [w:] Ustawa o komornikach sądowych. Ustawa o kosztach komorniczych. Komentarz, pod. red. M. Simbierowicza, M. Świtkowskiego, Wolters Kluwer Polska, 2018, Lex.

[3] Szerzej na temat możliwości zawierania określonych umów zob. art. 153 ustawy i dostępne do niego komentarze.

[4] Dalej jako „administrator”.

[5] Zob. 28 ust. 9 RODO.

[6] W doktrynie jako przykład wskazuje się akt prawny, o ile spełnia wszystkie przesłanki określone w art. 28 ust. 3 oraz 9 RODO, choć dopuszcza się także jednostronną czynność prawną, pod warunkiem spełnienia wymogów określonych w art. 29 ust. 3 i 9 RODO (tak: K. Witkowska-Nowakowska, art. 28 [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, pod red. E. Bielak-Jomaa, D. Lubasza, WKP 2018, Lex.

[7] W praktyce można spotkać się ze stanowiskiem, zgodnie z którym osoby, prowadzące jednoosobową działalność gospodarczą świadczącą usługi w ramach struktury administratora i podlegającą jej środkom technicznym, organizacyjnym, mogą przetwarzać dane osobowe na podstawie upoważnienia i nie należy traktować ich jako podmiot przetwarzający, albowiem nie są to „podmioty przetwarzający dane na zlecenie”, lecz działające pod kierownictwem administratora (zob. P. Fajgielski, art. 28. [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Wolters Kluwer Polska, 2018, Lex.

[8] Są to najczęściej stosowane nazwy tej umowy, choć można się spotkać z terminami umowa o powierzeniu danych, umowa z procesorem, umowa powierzenia itp.

[9] Zobacz motyw nr 81 RODO; w zakresie Kodeksu postępowania zob. art. 40 RODO; w zakresie zatwierdzonego mechanizmu certyfikacji zob. art. 40 RODO.” https://www.currenda.pl/2019/04/outsourcing-uslug-w-kancelarii-komorniczej-w-rodo/

[10] Jeżeli subprocesor nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków subprocesora spoczywa na pierwotnym podmiocie przetwarzającym (art. 28 ust. 4 RODO).

[11] Unijny prawodawca przewiduje wyjątek od tej zasady i pozwala na dalsze przetwarzanie danych przez podmiot przetwarzający niezależnie od zakończenia świadczenia usług w sytuacji, gdy prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.

[12] Administrator nie może nakładać na podmiot przetwarzający niezgodnych z przepisami obowiązków czy poleceń. W przypadku, gdy w ocenie podmiotu przetwarzającego wydane przez administratora polecenie stanowi naruszenie RODO lub innych przepisów Unii lub państwa członkowskiego o ochronie danych, podmiot przetwarzający jest zobowiązany niezwłocznie poinformować o tym administratora (zob. art. 28 ust. 3 lit. 4 RODO).

[13] Art. 82 ust. 3 RODO przewiduje zwolnienie z odpowiedzialności odszkodowawczej; art. 82 ust. 4 RODO reguluje solidarną odpowiedzialność podmiotów za wyrządzoną szkodę; art. 82 ust. 5 RODO przewiduje możliwość roszczeń regresowych w związku z odpowiedzialnością solidarną i zapłatą odszkodowania przez jeden z podmiotów odpowiedzialnych.

Zobacz pełny artykuł