iSecure logo
  • pl
  • en
    • Blog

    4 istotne obszary, na które administrator powinien zwrócić szczególną uwagę przy powierzeniu przetwarzania danych

    Emilia Dudzińska
    Kategorie

    Czym jest powierzenie przetwarzania danych osobowych?

    Z powierzeniem przetwarzania danych osobowych mamy do czynienia w sytuacji, w której podmiot będący administratorem danych osobowych powierza podmiotowi zewnętrznemu (podmiotowi przetwarzającemu) przetwarzanie danych w związku z realizacją przez ten podmiot określonych usług na rzecz administratora, takich jak np. rachunkowość, archiwizacja dokumentów, IT, monitoring, w określonych przypadkach rekrutacja pracowników na rzecz administratora.

    RODO[1] nie zawiera definicji powierzenia przetwarzania danych osobowych. Jego istota została jednak ujęta w art. 28 ust. 1 RODO, zgodnie z którym „jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą”. Podmiot zewnętrzny nie decyduje, w przeciwieństwie do administratora, o celach i sposobach przetwarzania danych osobowych, a przetwarzanie danych osobowych przez ten podmiot, w ramach powierzenia, dokonywane jest w imieniu administratora.

    Obowiązki administratora

    • Weryfikacja kontrahenta

    Administrator przy wyborze podmiotu, któremu zleca wykonanie określonej usługi musi kierować się nie tylko rzetelnością świadczonej w konkretnym obszarze usługi, lecz przede wszystkim zapewnieniem przez taki podmiot wystarczających gwarancji spełnienia wymogów RODO i ochrony praw osób, których dane dotyczą. W jaki sposób administrator może sprostać temu obowiązkowi? Administrator powinien przeprowadzić audyt ww. podmiotu np. poprzez wysłanie ankiety lub kwestionariusza weryfikacyjnego, w ramach której podmiot zewnętrzny udzieli informacji w odniesieniu do kluczowych kwestii związanych z zapewnieniem bezpieczeństwa przetwarzania danych osobowych, takich jak np. przyjęte i obowiązujące polityki ochrony danych osobowych, udzielenie pracownikom i współpracownikom posiadającym dostęp do danych osobowych stosownych upoważnień, zobowiązanie ww. osób do zachowania poufności, rodzaje systemów i sposób zabezpieczania danych osobowych w środowisku teleinformatycznym, sposób fizycznego przechowywania dokumentów, czy np. stosowana jest tzw. „zasada czystego biurka” – to tylko niektóre przykładowe elementy, które powinien zawierać formularz weryfikacyjny kontrahenta.

    • Podpisanie umowy powierzenia przetwarzania danych osobowych

    Kolejnym etapem, oprócz zawarcia umowy głównej o świadczenie konkretnej usługi, jest zawarcie umowy powierzenia przetwarzania danych osobowych. Umowa taka najczęściej stanowi umowę odrębną w stosunku do umowy głównej. W praktyce zdarzają się jednak sytuacje, kiedy umowa powierzenia jest częścią umowy o świadczenie konkretnej usługi.

    Zgodnie z art. 28 ust. 3 RODO, „przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, prawa i obowiązki i prawa administratora.” 

    W świetle RODO, umowa powierzenia powinna mieć formę pisemną, w tym formę elektroniczną (przy czym RODO nie definiuje formy elektronicznej) oraz  stanowić, że zewnętrzny podmiot wykonujący daną usługę (podmiot przetwarzający):

    1. przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora (co dotyczy także przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej);
    2. zapewnia, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub aby podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
    3. podejmuje wszelkie środki dotyczące bezpieczeństwa przetwarzania danych osobowych;
    4. przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mówi RODO, w tym podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora; zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych było zgodne z RODO;
    5. w miarę możliwości pomaga administratorowi (z uwzględnieniem charakteru przetwarzania), poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą;
    6. pomaga administratorowi wywiązać się z obowiązków określonych w RODO z uwzględnieniem charakteru przetwarzania oraz dostępnych mu informacji;
    7. po zakończeniu świadczenia usług, które dotyczą przetwarzania, usuwa lub zwraca administratorowi wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie (chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych);
    8. udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków wynikających z RODO oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

    Powyższy katalog obowiązków podmiotu przetwarzającego ma charakter otwarty. Z punktu widzenia zabezpieczenia interesu administratora, umowa powierzenia w sposób szczegółowy i wyczerpujący powinna określać obowiązki leżące po stronie podmiotu przetwarzającego, a także uprawnienia przysługujące administratorowi.

    • Bieżąca weryfikacja kontrahenta

    Administrator jako podmiot odpowiedzialny za bezpieczeństwo przetwarzania danych osobowych, w tym współpracę z kontrahentem, zapewniającym wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie spełniało wymogi RODO, powinien weryfikować kontrahenta nie tylko przed nawiązaniem współpracy, lecz także w jej trakcie.

    • Prowadzenie rejestru umów powierzenia

    Rejestr umów powierzenia może ułatwić administratorowi zarządzanie procesem powierzenia przetwarzania danych osobowych, a tym samym ułatwić wywiązanie się z obowiązków wynikających z RODO, w szczególności w sytuacji, w której administrator ma zawarte umowy powierzenia z wieloma podmiotami przetwarzającymi.

    [1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych RODO)

     

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych - wideo
    Olga Skotnicka

    Dobry moment, czyli co w trawie piszczy… Dokumentacja RODO w Twojej organizacji

    Pewnie każdy z Was po niemal roku obowiązywania RODO, zastanawia się nad prawidłowością wdrożenia dokumentacji w swojej organizacji. Oczywiście łatwiej mają podmioty posiadające Inspektora Ochrony Danych (IOD), który skutecznie nadzoruje wdrożenie wcześniej zarekomendowanych dokumentów, tj. procedur, polityk, wytycznych, zgód czy obowiązków informacyjnych. Znacznie trudniej radzą sobie podmioty działające bez IOD, tym bardziej że RODO nie zawiera […]

    Czytaj więcej
    Maria Lothamer

    Formularz kontaktowy – jaka podstawa prawna do udzielenia odpowiedzi?

    Możliwość kontaktu to podstawa.   Duża część Spółek udostępnia na swoich stronach internetowych formularze, za pomocą których osoby fizyczne mogą zadawać pytania dotyczące np. oferowanych przez nie produktów czy usług i tematów z nimi związanych. Nawet jeżeli Spółka nie udostępnia takiego formularza, to daje możliwość wysłania takiego zapytania drogą mailową na wskazany przez Spółkę adres […]

    Czytaj więcej
    Nina Zacharska

    Praca zdalna a ochrona danych osobowych – co zmienia nowelizacja Kodeksu pracy

    27 stycznia 2023 r. Prezydent RP podpisał ustawę nowelizującą Kodeksu pracy (KP) o przepisy obejmujące m.in. regulacje z zakresu pracy zdalnej i choć praca zdalna jest z nami już od lat, a od 2020 r. jeszcze bardziej zaznaczyła swoją pozycję na rynku pracy (z przymusu), to dotychczas nie była ona tak obszernie uregulowana w żadnych […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki