Jakie obowiązki zgodnie z rodo będzie miał podmiot przetwarzający

Piotr Glen

Autor: Piotr Glen

Dodano: 7 sierpnia 2017
Jakie obowiązki zgodnie z rodo będzie miał podmiot przetwarzający

Jeżeli przetwarzanie danych osobowych ma się odbywać w imieniu administratora, to zgodnie z ogólnym rozporządzeniem o ochronie danych powinien on korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rodo i chroniło prawa osób, których dane dotyczą.

Podstawą przetwarzania danych osobowych przez podmiot przetwarzający powinna być umowa lub inny instrument prawny, który podlega prawu Unii Europejskiej lub prawu państwa członkowskiego i wiążę podmiot przetwarzający i administratora, określając:

  • przedmiot i czas trwania przetwarzania,
  • charakter i cel przetwarzania,
  • rodzaj danych osobowych,
  • kategorie osób, których dane dotyczą,
  • obowiązki i prawa administratora.

Ta umowa lub inny instrument prawny powinny określać, że podmiot przetwarzający:

1. Przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora.

Dotyczy to też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.

2. Zapewnia, że osoby przetwarzające dane zachowają tajemnicę

Podmiot przetwarzający zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.

3. Podejmuje wszelkie środki wymagane na mocy art. 32 ogólnego rozporządzenia.

Zgodnie z art. 32 ogólnego rozporządzenia, aby zapewnić bezpieczeństwo danych osobowych, należy m.in. wdrożyć odpowiednie środki techniczne i organizacyjne, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

4. Przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w art. 28 ust. 2 i 4 ogólnego rozporządzenia.

Zgodnie z art. 28 ust. 2 ogólnego rozporządzenia podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. Natomiast jak wynika z art. 28 ust. 4 ogólnego rozporządzenia na podmiot, z którego korzysta procesor, zostają nałożone te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym.

5. Wspomaga administratora w wykonywaniu obowiązków wobec podmiotów danych.

Biorąc pod uwagę charakter przetwarzania, w miarę możliwości podmiot przetwarzający pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III ogólnego rozporządzenia (prawo do: sprostowania danych, usunięcia danych, ograniczenia przetwarzania, przenoszenia danych, obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania).

6. Wspomaga administratora w wykonywaniu innych obowiązków.

Uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 ogólnego rozporządzenia – zapewnienie bezpieczeństwa danych osobowych, zgłaszanie naruszenia ochrony danych organowi nadzorczemu i zawiadamianie o tym osoby, której dane dotyczą, prowadzenie oceny skutków dla ochrony danych, uprzednie konsultacje z organem nadzorczym.

7. Po zakończeniu umowy usuwa dane i ich kopie.

Po zakończeniu świadczenia usług związanych z przetwarzaniem, zależnie od decyzji administratora, usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.

8. Umożliwia administratorowi wykonanie obowiązków poprzez udostępnienie informacji.

Udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych powyżej oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.  W związku z tym obowiązkiem podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie ogólnego rozporządzenia lub innych przepisów Unii Europejskiej lub państwa członkowskiego o ochronie danych.

Podmiot, któremu procesor powierzył przetwarzanie – jakie ma obowiązki

Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii Europejskiej lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym.

W szczególności chodzi o obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom ogólnego rozporządzenia o ochronie danych. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.

Uwaga

Wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom ogólnego rozporządzenia o ochronie danych, podmiot przetwarzający może wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji.

Czy można powierzyć dane na podstawie standardowych klauzul umownych

Bez uszczerbku dla indywidualnych umów między administratorem a podmiotem przetwarzającym, umowa lub inny akt prawny, na podstawie których odbywa się przetwarzanie danych osobowych na mocy powierzenia, mogą się opierać w całości lub w części na standardowych klauzulach umownych także, gdy są one elementem certyfikacji udzielonej administratorowi lub podmiotowi przetwarzającemu.

Komisja Europejska może określić standardowe klauzule umowne dotyczące poruszanych kwestii zgodnie z procedurą sprawdzającą. Organ nadzorczy może też przyjąć standardowe klauzule umowne zgodnie z mechanizmem spójności, o którym mowa w art. 63 ogólnego rozporządzenia.

Ważne:

Jeżeli podmiot przetwarzający naruszy ogólne rozporządzenie o ochronie danych przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania.

Przygotowanie umowy powierzenia – kto powinien się tym zająć

O umowie powierzenia generalnie powinien pamiętać administrator danych. Coraz częściej jednak to już podmioty przetwarzające, zdające sobie sprawę ze swoich obowiązków, mają odpowiednie wzory umów, wraz z zapisami lub załącznikami określającymi zasady powierzenia danych. Podnosi to jeszcze bardziej ich wiarygodność i profesjonalizm.

Administrator i podmiot przetwarzający mogą postanowić, że skorzystają z umowy indywidualnej lub ze standardowych klauzul umownych, które zostały przyjęte bezpośrednio przez Komisję Europejską albo przez organ nadzorczy (w Polsce obecnie Generalny Inspektor Ochrony Danych Osobowych, a zgodnie z projektem nowej ustawy o ochronie danych osobowych – Urząd Ochrony Danych Osobowych).

Piotr Glen

Autor: Piotr Glen

doświadczony administrator bezpieczeństwa informacji pełniący tę funkcję dla wielu firm i instytucji, trener i audytor

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel