Gdy zewnętrzny podmiot ma dostęp
do danych, za które odpowiadasz

Pozyskane przez firmę dane nie są przetwarzane w szklanej bańce. Co prawda najczęściej zbiera je administrator danych, aby móc je przetwarzać we własnych celach, jednak przy okazji realizacji tych celów inne podmioty mogą mieć styczność z danymi, które są „własnością” administratora.

Kto ma dostęp do danych?

Podmioty mające dostęp do danych możemy podzielić na:

• podmioty przetwarzające dane w imieniu administratora (procesorzy), na podstawie zawartej umowy powierzenia przetwarzania danych,
• odbiorców danych, czyli podmioty, którym ujawnia się dane osobowe – jest to krąg szerszy, obejmujący również podmioty przetwarzające,
• strony trzecie, czyli wszelkie podmioty inne niż: osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe. Są to podmioty, które nie mają żadnego konkretnego umocowania prawnego ani upoważnienia do przetwarzania danych osobowych.

Better safe than sorry, czyli sprawdzamy podmiot przetwarzający, zanim przekażemy mu dane

Najczęściej będziemy mieli do czynienia z sytuacją, w której inny podmiot przetwarza dane w naszym – jako administratora – imieniu (np. firma dostarczająca rozwiązania chmurowe czy wykonująca na nasze zlecenie działania marketingowe). Zanim powierzymy takim podmiotom dane, musimy się upewnić, że będą one przetwarzane zgodnie ze sztuką.

Jednym ze sposobów sprawdzenia procesora jest wykazanie przez niego stosowania zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji, o których mowa w RODO. s Ponieważ jednak obecnie w Polsce wskazane mechanizmy nie są rozwinięte, przed nawiązaniem współpracy z podmiotem przetwarzającym najlepiej wysłać do niego ankietę bezpieczeństwa, w której zadamy szereg pytań o stosowane procedury i zabezpieczenia techniczne.

Wzór takiej ankiety udostępniamy na blogu: „Lista kontrolna – udostępniamy formularz”.

Jeszcze innym, ale bardziej czasochłonnym (a dodatkowo kosztownym) i przeznaczonym raczej dla „dużych graczy” sposobem sprawdzenia potencjalnego podmiotu przetwarzającego jest przeprowadzenie audytu.

Kiedy już zaufamy potencjalnemu podmiotowi przetwarzającemu

Gdy przekonamy się, że potencjalny podmiot przetwarzający jest godny naszego zaufania, możemy zawrzeć z nim umowę powierzenia przetwarzania danych. Jest ona konieczna do powierzenia danych. Musi właściwie regulować prawa i obowiązki obu stron stosunku powierzenia.

Taka umowa wiąże podmiot przetwarzający z administratorem oraz określa:

• przedmiot przetwarzania,
• czas trwania przetwarzania,
• charakter i cele przetwarzania,
• rodzaj danych osobowych i kategorie osób, których dane dotyczą,
• obowiązki i prawa administratora.

Więcej na temat szczegółowych kwestii, które powinny być uregulowane w umowie, oraz gotowy wzór takiej umowy znajdziesz na naszym blogu. W sytuacji gdy procesor znajduje się poza Europejskim Obszarem Gospodarczym, można skorzystać ze standardowych klauzul umownych.

Jeśli nie powierzenie, to co?

Wspomniani wyżej odbiorcy, niebędący jednocześnie podmiotami przetwarzającymi, najczęściej będą po prostu odrębnymi administratorami, którzy uzyskują legalny dostęp do danych osobowych zgromadzonych przez administratora (np. biegli rewidenci, adwokaci). Dostęp wskazanych podmiotów do danych wynika z innych tytułów niż umowa powierzenia przetwarzania (np. umowa o współpracy), a podstawą prawną udostępnienia może być np. realizacja prawnie uzasadnionego interesu administratora, w postaci dochodzenia lub obrony roszczeń.