Każdy administrator danych osobowych może przekazać czynności przetwarzania danych do innego podmiotu. Podmiot taki nazywany jest podmiotem przetwarzającym lub procesorem.

Zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, dalej RODO podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Obowiązki podmiotu przetwarzającego

RODO nakłada na podmiot przetwarzający wiele obowiązków, określa, jakie gwarancje musi spełniać procesor, aby administrator mógł zawrzeć z nim umowę powierzenia przetwarzania danych osobowych oraz co obligatoryjnie musi zwierać taka umowa. Większość postanowień RODO musi być stosowana także przez podmiot przetwarzający, aby administrator mógł powierzyć mu swoje dane w celu ich przetwarzania. Podmiot przetwarzający musi przede wszystkim:

  • wdrożyć odpowiednie środki techniczne i organizacyjne, które spełniają wymogi RODO oraz chronią prawa osób, których dane dotyczą,
  • wyznaczyć swojego przedstawiciela w Unii w sytuacjach wskazanych w RODO,
  • prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora,
  • zgłaszać administratorowi naruszenia ochrony danych osobowych,
  • wyznaczyć inspektora ochrony danych w sytuacjach, gdy jest to obligatoryjne,
  • spełniać wymagania określone w RODO dla przekazywania danych do państwa trzecich.

Artykuł 32 RODO wskazuje, że zarówno administrator, jak i podmiot przetwarzający, powinni drożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający danemu ryzyku. Więcej na ten temat pisaliśmy TUTAJ.

Podmiot przetwarzając musi także, w określonych sytuacjach, wyznaczyć swojego przedstawiciela w Unii. Dotyczy to sytuacji , w których podmiot przetwarzający nie posiada jednostki organizacyjnej w Unii, jednak czynności przetwarzania przez niego dokonywane wiążą się z oferowaniem towarów lub usług osobom, których dane dotyczą w Unii lub monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

Innym obowiązkiem podmiotu przetwarzającego jest prowadzenie rejestru kategorii czynności przetwarzania, które dokonywane są w imieniu konkretnego administratora. Rejestr ten zawiera następujące informacje:

  • imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego oraz każdego administratora, w imieniu którego działa podmiot przetwarzający oraz, gdy ma to zastosowanie- inspektowa ochrony danych przedstawiciela administratora lub podmiotu przetwarzającego,
  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
  • przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, wraz z nazwą państwa trzeciego lub organizacji międzynarodowej, gdy ma to zastosowanie,
  • ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, jeżeli jest to możliwe.

Ponadto podmiot przetwarzający musi zgłaszać do administratora wszelkie stwierdzone naruszenia ochrony danych osobowych. Na podstawie przepisów powinien tego dokonać po stwierdzeniu naruszenia bez zbędnej zwłoki.

W sytuacjach określonych w RODO podmiot przetwarzający podobnie jak administrator musi wyznaczyć inspektora ochrony danych. Powołanie inspektora ochrony danych jest obligatoryjne w sytuacjach, gdy:

  • przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiary sprawiedliwości,
  • główna działalność podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
  • główna działalność podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących o naruszeń prawa.

Po wyznaczeniu inspektora ochrony danych należy opublikować jego dane oraz zawiadomić o tym organ nadzorczy.

Podmiot przetwarzający może przekazywać dane osobowe do pastwa trzeciego wyłącznie na udokumentowane polecenie administratora, chyba, że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający. Poza tym przekazanie danych osobowych do państwa trzeciego odbywa się na takich samych zasadach jakie obowiązują administratora w tym zakresie, czyli:

  • należy sprawdzić, czy Komisja Europejska (KE) wydała decyzję potwierdzającą, że państwo trzecie zapewnia odpowiedni stopień ochrony. Dzięki takiej decyzji przekazywanie danych nie jest obwarowane dodatkowymi wymogami – w szczególności nie wymaga zezwolenia właściwego organu nadzoru ani wdrożenia szczególnych zabezpieczeń.
  • W przypadku braku decyzji Komisji Europejskiej, administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego wyłącznie, gdy zapewnią odpowiednie zabezpieczenia i pod warunkiem, że w państwie trzecim obowiązują egzekwowalne prawa osób, których dane dotyczą oraz skuteczne środki ochrony prawnej. Celem jest zapewnienie analogicznej ochrony podmiotowi danych, jaka przysługiwałaby mu w sytuacji przetwarzania jego danych wewnątrz Unii Europejskiej. Do zabezpieczeń tych należą: wiążące reguły korporacyjne, standardowe klauzule ochrony danych, zatwierdzone kodeksy postępowania, zatwierdzony mechanizm certyfikacji oraz klauzule umowne pomiędzy podmiotem przekazującym dane a odbiorcą danych w państwie trzecim – w tym przypadku konieczne jest uzyskanie zgody na transfer danych od odpowiedniego organu nadzorczego.
Umowa powierzenia

Jak już wcześniej wspomniano, powierzenie przetwarzania odbywa się na podstawie umowy (lub innego instrumentu prawnego). Umowa ta może mieć formę pisemną, jak i elektroniczną Zgodnie z RODO umowa powierzenia powinna określać:

  • przedmiot umowy, czyli to, jakie dane i w jakim zakresie zostają powierzone podmiotowi przetwarzającemu,
  • czas trwania przetwarzania,
  • charakter przetwarzania,
  • cel przetwarzania,
  • rodzaj danych osobowych,
  • kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

Ponadto istotne jest, aby umowa powierzenia stanowiła, iż podmiot przewarzający:

  • przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora, dotyczy to także przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
  • zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy,
  • podejmuje wszelkie środki techniczne i organizacyjne, dotyczące bezpieczeństwa przetwarzania,
  • przestrzega warunków korzystania z usług innego podmioty przetwarzającego,
  • w miarę możliwości i uwzględniając charakter przetwarzania oraz dostępne informacje pomaga administratorowi wywiązać się z jego obowiązków, m.in. z obowiązku: odpowiadania na żądania osoby, której dane dotyczą, zgłaszania naruszeń ochrony danych osobowych do organu nadzorczego czy oceny skutków dla ochrony danych,
  • po zakończeniu świadczenia usług związanych z przetwarzaniem, zależnie od decyzji administratora, usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa ich wszelkie kopie, chyba że prawo stanowi inaczej,
  • udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych powyżej oraz umożliwia administratorowi lub audytorowi przeprowadzeni audytów i przyczynia się do nich.

Jak wybrać podmiot przetwarzający

Przede wszystkim należy pamiętać, że procesor działa w imieniu administratora i na wyraźne jego polecenie. Wybór podmiotu przetwarzającego to duża odpowiedzialność. Musi on zapewniać wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, w celu zapewnienia bezpieczeństwa przetwarzanych danych osobowych. Administrator zanim zawrze umowę powierzenia, powinien zweryfikować, czy system ochrony danych konkretnego procesora jest zgodny z wymogami RODO. Podmiot przetwarzający powinien legitymować się:

  • wiedzą fachową (kompetencje, doświadczenie),
  • wiarygodnością (np. certyfikaty ISO, wdrożone kodeksy postępowania),
  • zasobami (zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, stosowanie wewnętrznych procedur).

Potwierdzeniem spełniania tych wymogów jest stosowanie przez procesora zatwierdzonych kodeksów postępowania lub posiadanie certyfikatów w zakresie ochrony danych osobowych. Wówczas nie potrzeba dodatkowej weryfikacji, gdyż wspomniane dokumenty potwierdzają spełnienia wymogów przez podmiot przetwarzający. A co w sytuacji, gdy podmiot przetwarzający nie stosuje zatwierdzonych kodeksów postępowania lub nie posiada certyfikatów. Wówczas w celu weryfikacji procesora może być przeprowadzenie audytu w zakresie ochrony danych osobowych lub skorzystanie z takich mechanizmów jak: check lista, ankieta, oświadczenie itp. Administrator powinien korzystać wyłącznie z usług podmiotów przetwarzających, którzy wypełniają postanowienia RODO. Rozpoczęcie współpracy z procesorem, który nie zapewnia odpowiednich gwarancji, jest naruszeniem obowiązków administratora.

KATEGORIE WPISÓW