Dokument aktualny
Zobacz inne wersje:

12 obowiązków podmiotu przetwarzającego

Piotr Glen

Autor: Piotr Glen

Dodano: 28 stycznia 2022
Jakie obowiązki zgodnie z rodo będzie miał podmiot przetwarzający

W przypadku powierzenia przetwarzania danych na administratorze spoczywa duża odpowiedzialność. Dlatego powinien on korzystać wyłącznie z usług takich procesorów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków bezpieczeństwa. Nie jest jednak tak, że na procesorze nie ciążą żadne obowiązki.

Respektuj postanowienia umowy powierzenia

Podstawą przetwarzania danych osobowych przez podmiot przetwarzający powinna być umowa lub inny instrument prawny, który podlega prawu Unii Europejskiej lub prawu państwa członkowskiego i wiążę podmiot przetwarzający i administratora, określając:

  • przedmiot i czas trwania przetwarzania,
  • charakter i cel przetwarzania,
  • rodzaj danych osobowych,
  • kategorie osób, których dane dotyczą,
  • obowiązki i prawa administratora.

To właśnie z tej umowy powinny wynikać szczegółowe obowiązki podmiotu przetwarzającego. Jakie konkretnie? O tym przeczytasz w dalszej części artykułu.

Rozważ współpracę przy opracowaniu umowy powierzenia

O umowie powierzenia na ogół powinien pamiętać administrator danych. Coraz częściej jednak to już podmioty przetwarzające, zdające sobie sprawę ze swoich obowiązków, mają odpowiednie wzory umów, wraz z zapisami lub załącznikami określającymi zasady powierzenia danych. Podnosi to jeszcze bardziej ich wiarygodność i profesjonalizm.

Obowiązki spoczywające na procesorze mogą zostać oparte o standardowe klauzule umowne. Dotyczy to także przypadku, w którym są one elementem certyfikacji udzielonej administratorowi lub podmiotowi przetwarzającemu. Komisja Europejska może bowiem określić standardowe klauzule umowne dotyczące poruszanych kwestii zgodnie z procedurą sprawdzającą.

Uwaga

Sprawdź, jak może wyglądać umowa powierzenia przetwarzania danych z wykorzystaniem standardowych klauzul umownych:

Jesteś związany poleceniami administratora

Przede wszystkim podmiot przetwarzający ma obowiązek wykonywać polecenia administratora w zakresie danych osobowych objętych umową powierzenia przetwarzania danych.Dotyczy to też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.

Wyjątkiem jest sytuacja, w której obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający. W takiej sytuacji przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.

Zapewnij zachowanie tajemnicy

Podmiot przetwarzający musi pamiętać o upoważnieniu swojego personelu do przetwarzania powierzonych danych osobowych. W tym zakresie powinien zapewnić, by osoby upoważnione zostały zobowiązane do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.

Stosuj rozwiązania w zakresie bezpieczeństwa

Wymogi w zakresie bezpieczeństwa danych uregulowane w art. 32 RODO dotyczą także procesora. Powinien on więc wdrożyć odpowiednie środki techniczne i organizacyjne, uwzględniając przy tym:

  • stan wiedzy technicznej,
  • koszt wdrażania,
  • charakter, zakres, kontekst i cele przetwarzania
  • ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

Jakie rozwiązania wybierać? Odpowiedzi może dostarczyć umowa powierzenia.

Uwaga

Jak wskazano w standardowych klauzulach umownych: „W przypadku przekazywania danych podmiotom przetwarzającym lub podprzetwarzającym należy również opisać konkretne środki techniczne i organizacyjne, jakie powinien zastosować podmiot przetwarzający lub podprzetwarzający, aby móc udzielić pomocy administratorowi.”

Nie wybieraj podprocesora bez zgody ADO

Podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego (tzw. podprocesora) bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora (art. 28 ust. 2 RODO).

Uwaga

Zgoda administratora na skorzystanie z usług podprocesora musi być pisemna np. w umowie powierzenia.

Jeżeli zgody udzielono ogólnie, wówczas procesor powinien poinformować administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających. W konsekwencji administrator może wyrażać sprzeciw wobec takich zmian.

Wytypuj odpowiedniego podprocesora

Na podprocesora nakładane są te same obowiązki zakresie ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym. Dlatego od podprocesora należy oczekiwać zwłaszcza gwarancji wdrożenia odpowiednich środków bezpieczeństw danych adekwatnych do wymogów RODO.

Z drugiej strony za poczynania podprocesora odpowiada względem administratora procesor (art. 28 ust. 4 RODO). Innymi słowy, jeżeli podmiot przetwarzający przy określaniu celów i sposobów przetwarzania w umowie podpowierzenia naruszy RODO, wówczas będzie traktowany w tym zakresie tak jak administrator.

Dlatego właśnie procesor powinien nawiązywać współpracę jedynie z takimi podprocesorami, którzy gwarantują odpowiedni poziom bezpieczeństwa powierzanych im danych. Wystarczające gwarancje mogą być wykazane m.in. poprzez stosowanie zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji.

Uwaga

Chcesz sprawdzić podprocesora? Wykorzystaj w tym celu listę kontrolną dla podmiotów przetwarzających.

Wspomagaj administratora w wykonywaniu obowiązków względem podmiotów danych

W miarę możliwości podmiot przetwarzający powinien pomagać administratorowi w realizacji uprawnień podmiotów danych:

  • sprostowania danych,
  • usunięcia danych,
  • ograniczenia przetwarzania,
  • przenoszenia danych.
Uwaga

Wsparcie powinno dotyczyć również obowiązku powiadomienia o sprostowaniu lub usunięciu danych osobowych, lub o ograniczeniu przetwarzania.

Wspieraj administratora w realizacji innych obowiązków z RODO

Wsparcie administratora powinno dotyczyć także innych aspektów:

  • zapewnienia bezpieczeństwa danych osobowych,
  • zgłaszania naruszenia ochrony danych organowi nadzorczemu,
  • zawiadamiania o tym podmiotów, której dane dotyczą,
  • prowadzenie oceny skutków dla ochrony danych,
  • uprzednich konsultacji z organem nadzorczym.

Usuń dane i ich kopie po zakończeniu współpracy z administratorem

Administrator musi usuwać dane osobowe, jak również ich kopie. Powinien to zrobić niezwłocznie po zakończeniu świadczenia usług związanych z przetwarzaniem. Ewentualnością jest zwrot danych osobowych administratorowi. Wszystko zależy tu od jego decyzji. Wyjątkiem jest sytuacja, w której prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.

Umożliwiaj przeprowadzanie audytów

Procesor powinien też udostępniać administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w RODO. Przede wszystkim zaś umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji. Co więcej, powinien przyczyniać się do nich.

Uwaga

Jeżeli procesor uznał, że wydane mu polecenie narusza RODO lub inne przepisy unijne bądź krajowe, wówczas powinien to niezwłocznie zasygnalizować administratorowi.

Prowadź rejestr kategorii czynności przetwarzania

Obowiązkiem podmiotu przetwarzającego jest także prowadzenie rejestru kategorii czynności przetwarzania. Taki rejestr powinien określać:

  • imię i nazwisko lub nazwę oraz dane kontaktowe procesora (gdy ma to zastosowanie — przedstawiciela podmiotu przetwarzającego),
  • analogiczne dane każdego administratora, w którego imieniu działa procesor (w tym IOD);
  • kategorie przetwarzań dokonywanych w imieniu każdego z ADO;
  • kwestie przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (ze wskazaniem nazwy adresata oraz rodzajów zabezpieczeń).
  • ogólny opis technicznych i organizacyjnych środków bezpieczeństwa z art. 32 ust. 1 RODO.

Rejestru kategorii czynności przetwarzania nie musi prowadzić procesor, który zatrudnia mniej niż 250 osób. Prowadzenie rejestru będzie jednak obowiązkowe niezależnie od liczby zatrudnionych, gdy przetwarzanie, którego dokonuje procesor:

  • może powodować ryzyko naruszenia praw lub wolności podmiotów danych,
  • nie ma charakteru sporadycznego lub
  • obejmuje szczególne kategorie danych osobowych.
Piotr Glen

Autor: Piotr Glen

doświadczony administrator bezpieczeństwa informacji pełniący tę funkcję dla wielu firm i instytucji, trener i audytor

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x