Przetwarzanie danych w celu wystawienia certyfikatu ze szkolenia – jakie obowiązki ma podmiot przetwarzający

Wioleta Szczygielska

Autor: Wioleta Szczygielska

Dodano: 13 marca 2018
Przetwarzanie danych w celu wystawienia certyfikatu ze szkolenia – jakie obowiązki ma podmiot przetwarzający
Pytanie:  Otrzymałam dane osobowe pracowników (imię i nazwisko) od firmy, dla której prowadziłam szkolenie, w celu wystawienia certyfikatu potwierdzającego udział w szkoleniu. Czy takie działanie jest przetwarzaniem danych osobowych? Jakie obowiązki wynikają z takiego działania na mocy ogólnego rozporządzenia o ochronie danych (RODO)?
Odpowiedź: 

Wykorzystanie danych osobowych w celu wystawienia certyfikatu jest przetwarzaniem danych osobowych. Podmiot, który robi to na zlecenie administratora danych, jest procesorem (podmiotem przetwarzającym). Jego obowiązki wynikają z art. 28 RODO.

Zgodnie z art. 4 ust. 2 ogólnego rozporządzenia o ochronie danych (RODO) „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych, lub zestawach danych osobowych w sposób zautomatyzowany, lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Wykorzystanie danych osobowych – imienia i nazwiska – w celu wystawienia certyfikatu będzie przetwarzaniem danych osobowych.

Podmiot, który wystawia certyfikat, nie jest administratorem danych, ale podmiotem przetwarzającym (procesorem), któremu dane zostały powierzone do przetwarzania. Należy pamiętać, że takie przekazanie danych powinno odbyć się w drodze umowy powierzenia przetwarzania danych osobowych (art. 31 ustawy o ochronie danych osobowych). Zapisy o powierzeniu danych do przetwarzania można zamieścić też w głównej umowie o współpracy, np. na przeprowadzenie szkolenia.

Jakie obowiązki będzie miał podmiot przetwarzający

Obowiązki podmiotu przetwarzającego określa art. 28 RODO. Przede wszystkim powinien on zapewnić wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Również zgodnie z RODO powierzenie danych do przetwarzania powinno odbywać się w drodze umowy (lub innego instrumentu prawnego), taka umowa powinna stanowić, że podmiot przetwarzający:

  • przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora,
  • zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
  • podejmuje wszelkie środki wymagane na mocy art. 32 RODO (zapewnia bezpieczeństwo danych),
  • przestrzega warunków korzystania z usług innego podmiotu przetwarzającego (musi uzyskać na to zgodę administratora),
  • biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO,
  • uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO (m.in. zawiadamianie o naruszeniu ochrony danych osobowych),
  • po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie,
  • udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia jego obowiązków oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

W związku z obowiązkiem zgłaszania naruszeń ochrony danych podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii bądź państwa członkowskiego o ochronie danych. Każdy podmiot przetwarzający powinien także prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora (art. 30 ust. 2 RODO).

Wioleta Szczygielska

Autor: Wioleta Szczygielska

Specjalista z zakresu prawa ochrony danych osobowych. Wieloletni redaktor fachowych publikacji związanych z tematyką ochrony danych osobowych.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x