Zapraszamy do strefy RODO - prezentujemy najważniejsze zmiany i nowości Więcej

Nowe obowiązki procesorów danych osobowych już od 25 maja 2018r.

blog-123

Zmiany wprowadzone Rozporządzeniem ogólnym UE w sprawie ochrony danych osobowych, będą miały również wpływ na funkcjonowanie podmiotów zewnętrznych, którym administratorzy danych powierzyli przetwarzanie danych osobowych. W praktyce oznacza to, że firma zewnętrzna świadcząca usługi na rzecz podmiotu, który musiał wyznaczyć Inspektora ochrony danych (obecnego ABI) również będzie musiała wyznaczyć taką funkcję w swojej organizacji, jeżeli powierzone dane znajdą się w zakresie obligatoryjnego powołania IOD.

Zakres zmian w relacji procesor danych osobowych i administrator danych został nieco silniej uregulowany niż ma to miejsce w obecnie obowiązującej ustawie o ochronie danych osobowych. Przede wszystkim nałożono dodatkowe ograniczenia na procesorów danych.

Po pierwsze zakaz podpowierzania przetwarzania danych osobowych innym podmiotom bez pisemnej zgody administratora tych danych. Obecnie kwestia ta jest regulowana wyłącznie w treści umowy powierzenia i jest zależna od woli stron umowy powierzenia. Najczęściej procesor nie chcę być ograniczony w tym zakresie gdyż sam korzysta z usług podwykonawców, którzy często się zmieniają. Obostrzenie to domyślnie ujawni administratorowi danych wszystkie podmioty zewnętrzne, które będą miały faktyczny dostęp do powierzanych danych.

Po drugie procesor może przetwarzać powierzone dane wyłącznie na udokumentowane polecenie administratora tych danych. Innymi słowy musi gromadzić i przechowywać polecenia administratora danych tak by mógł udowodnić, że sam nie podjął decyzji o zmianie sposobu czy też celu przetwarzania danych osobowych lub choćby przesłania danych osobowych do Państwa trzeciego. Jeżeli jednak okaże się, że procesor danych zmieni np. cel przetwarzania danych to automatycznie staje się administratorem tych danych i ponosi pełną odpowiedzialność niejako w zastępstwie pierwotnego administratora danych.

Po trzecie procesor musi zapewnić by osoby które zostały upoważnione do przetwarzania powierzonych danych osobowych zachowały je w tajemnicy. Obecnie jest to regulowane z mocy samej ustawy o ochronie danych osobowych, która bezpośrednio zobowiązuje osoby upoważnione do zachowania danych osobowych w tajemnicy. Podpisane oświadczenie jest silniejszą formą dowodową wobec osób, które postanowią ujawniać dane osobowe poza zakresem upoważnienia.

Po czwarte procesor danych odpowiada za odpowiedni poziom bezpieczeństwa wdrożony po stronie podmiotu, któremu podpowierzył przetwarzanie danych osobowych. Innymi słowy jeżeli podprocesor nie zapewni odpowiednich zabezpieczeń zgodnie z treścią Rozporządzenia UE, odpowiedzialność za jego braki poniesie ten podmiot, który mu podpowierzył dane, a nie sam administrator danych. Obecnie proces ten jest regulowany jedynie w treści umów powierzenia przetwarzania danych osobowych.

procesorzy-zmiany-RODO

Po piąte procesor będzie musiał, w miarę możliwości pomagać administratorowi danych wywiązać się z obowiązku odpowiadania na żądania osób, których dane dotyczą. W praktyce będzie musiał współdziałać z administratorem danych w zakresie realizacji uprawnień osób, których dane dotyczą.

Po szóste procesor danych będzie musiał po zakończeniu przetwarzania powierzonych danych usunąć je lub zwrócić administratorowi danych w zależności od jego woli. Obowiązek ten dotyczy również wszelkich kopii danych, które zostały wykonane.

Ostatecznie procesor danych udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w przepisach Rozporządzenia ogólnego UE oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. Przepis ten domyślnie zakłada możliwość przeprowadzenia kontroli po stronie procesora danych z inicjatywy administratora danych. Element ten do tej pory również pozostawał do dyspozycji stron umowy.

Dodatkową zmianą techniczną jest możliwość zawierania umów powierzenia w formie elektronicznej. Do tej pory musiały być to umowy na piśmie bez opcji wersji elektronicznej. Jest to pewno ułatwienie w szczególności gdy istotny jest aspekt czasu przy zawieraniu umów powierzenia.

Podsumowując procesor danych zwany w Rozporządzeniu ogólnym EU, podmiotem przetwarzającym, będzie miał więcej obowiązków, które obowiązują domyślnie. Dodatkowo znacznym obciążeniem organizacyjnym dla procesorów będzie konieczność wyznaczenia Inspektora ochrony danych (IOD) w sytuacji, gdy współpracują z administratorami, którzy muszą wyznaczyć IOD.

 

Sprawdź również:

HIT RODO NAWIGATOR zamów za darmo

Kompleksowe wsparcie we wdrożeniu RODO

Strefa RODO najważniejsze zmiany i nowości

Skuteczne wdrożenie RODO z kim je zrealizować?

 


Konrad Gałaj-Emiliańczyk
11 października 2017
Biuletyn info... Biuletyn ODO 24

Raz w miesiącu wysyłamy subiektywny przegląd najważniejszych informacji i wydarzeń oraz naszych promocji i nowości. Wystarczy poniżej podać swój adres e-mail.

Zobacz poprzednie wydanie.