Zmiany wprowadzone Rozporządzeniem ogólnym UE w sprawie ochrony danych osobowych, będą miały również wpływ na funkcjonowanie podmiotów zewnętrznych, którym administratorzy danych powierzyli przetwarzanie danych osobowych. W praktyce oznacza to, że firma zewnętrzna świadcząca usługi na rzecz podmiotu, który musiał wyznaczyć Inspektora ochrony danych (obecnego ABI) również będzie musiała wyznaczyć taką funkcję w swojej organizacji, jeżeli powierzone dane znajdą się w zakresie obligatoryjnego powołania IOD.
Zakres zmian w relacji procesor danych osobowych i administrator danych został nieco silniej uregulowany niż ma to miejsce w obecnie obowiązującej ustawie o ochronie danych osobowych. Przede wszystkim nałożono dodatkowe ograniczenia na procesorów danych.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Po drugie procesor może przetwarzać powierzone dane wyłącznie na udokumentowane polecenie administratora tych danych. Innymi słowy musi gromadzić i przechowywać polecenia administratora danych tak by mógł udowodnić, że sam nie podjął decyzji o zmianie sposobu czy też celu przetwarzania danych osobowych lub choćby przesłania danych osobowych do Państwa trzeciego. Jeżeli jednak okaże się, że procesor danych zmieni np. cel przetwarzania danych to automatycznie staje się administratorem tych danych i ponosi pełną odpowiedzialność niejako w zastępstwie pierwotnego administratora danych.
Po trzecie procesor musi zapewnić by osoby które zostały upoważnione do przetwarzania powierzonych danych osobowych zachowały je w tajemnicy. Obecnie jest to regulowane z mocy samej ustawy o ochronie danych osobowych, która bezpośrednio zobowiązuje osoby upoważnione do zachowania danych osobowych w tajemnicy. Podpisane oświadczenie jest silniejszą formą dowodową wobec osób, które postanowią ujawniać dane osobowe poza zakresem upoważnienia.
Po czwarte procesor danych odpowiada za odpowiedni poziom bezpieczeństwa wdrożony po stronie podmiotu, któremu podpowierzył przetwarzanie danych osobowych. Innymi słowy jeżeli podprocesor nie zapewni odpowiednich zabezpieczeń zgodnie z treścią Rozporządzenia UE, odpowiedzialność za jego braki poniesie ten podmiot, który mu podpowierzył dane, a nie sam administrator danych. Obecnie proces ten jest regulowany jedynie w treści umów powierzenia przetwarzania danych osobowych.
Po piąte procesor będzie musiał, w miarę możliwości pomagać administratorowi danych wywiązać się z obowiązku odpowiadania na żądania osób, których dane dotyczą. W praktyce będzie musiał współdziałać z administratorem danych w zakresie realizacji uprawnień osób, których dane dotyczą.
Po szóste procesor danych będzie musiał po zakończeniu przetwarzania powierzonych danych usunąć je lub zwrócić administratorowi danych w zależności od jego woli. Obowiązek ten dotyczy również wszelkich kopii danych, które zostały wykonane.
Ostatecznie procesor danych udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w przepisach Rozporządzenia ogólnego UE oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. Przepis ten domyślnie zakłada możliwość przeprowadzenia kontroli po stronie procesora danych z inicjatywy administratora danych. Element ten do tej pory również pozostawał do dyspozycji stron umowy.
Dodatkową zmianą techniczną jest możliwość zawierania umów powierzenia w formie elektronicznej. Do tej pory musiały być to umowy na piśmie bez opcji wersji elektronicznej. Jest to pewno ułatwienie w szczególności gdy istotny jest aspekt czasu przy zawieraniu umów powierzenia.
Podsumowując procesor danych zwany w Rozporządzeniu ogólnym EU, podmiotem przetwarzającym, będzie miał więcej obowiązków, które obowiązują domyślnie. Dodatkowo znacznym obciążeniem organizacyjnym dla procesorów będzie konieczność wyznaczenia Inspektora ochrony danych (IOD) w sytuacji, gdy współpracują z administratorami, którzy muszą wyznaczyć IOD.