Obowiązek zawarcia umowy o powierzenie przetwarzania danych osobowych na przykładzie laboratorium
Powierzenie przetwarzania danych osobowych innemu podmiotowi co do zasady wymaga zwarcia umowy, ale w praktyce często pojawiają się wątpliwości, czy administrator zlecając wykonanie usług musi zawrzeć taką umowę ze swoim podwykonawcą.
Istota problemu
Zarówno pojęcia „administratora”, „podmiotu przetwarzającego”, jak i pojęcie „przetwarzania” danych osobowych mają swoje definicje w RODO. I tak „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany.
Umowę powierzenia zawiera administrator z podmiotem przetwarzającym, której obligatoryjne elementy określają przepisy. Co istotne, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, to takie przetwarzanie wymaga zawarcia stosownej umowy.
W związku z pojemną definicją „przetwarzania” i różnorodnością praktyki podwykonawstwa usług, bardzo często pojawiają się wątpliwości, kiedy takiej umowy nie należy zawierać (z uwagi na brak relacji administrator – podmiot przetwarzający).
Wskazówki UODO na przykładzie laboratorium
W jednym z opublikowanych stanowisk Urząd Ochrony Danych Osobowych (UODO) odpowiedział, czy z laboratorium należy zawrzeć umowę powierzenia.
Odpowiedź jest osadzona na konkretnym przykładzie, aczkolwiek dostarcza wskazówek do oceny istnienia relacji administrator – administrator lub administrator – podmiot przetwarzający także w innych sytuacjach i stanach faktycznych.
Jak wskazuje UODO, przede wszystkim należy zwrócić uwagę, czy podmiot przetwarzający przetwarza dane W IMIENIU administratora.
W rozpatrzonym przykładzie podmiot świadczący usługi dla pacjenta podzleca wykonanie określonych badań laboratoryjnych.
Diagnostyka laboratoryjna jest ściśle regulowana przepisami prawa. Laboratorium uzyskane, przekazane lub udostępnione dane osobowe będzie więc przetwarzało jako administrator do własnych celów, w tym m.in. w celu prowadzenia dokumentacji medycznej.
W takiej sytuacji niewątpliwie występuje relacja administrator – administrator, a w konsekwencji każdy z tych podmiotów będzie musiał osobno spełnić obowiązek informacyjny wobec osoby, której dane są przetwarzane.