iSecure logo
Blog

4 istotne obszary, na które administrator powinien zwrócić szczególną uwagę przy powierzeniu przetwarzania danych

Czym jest powierzenie przetwarzania danych osobowych?

Z powierzeniem przetwarzania danych osobowych mamy do czynienia w sytuacji, w której podmiot będący administratorem danych osobowych powierza podmiotowi zewnętrznemu (podmiotowi przetwarzającemu) przetwarzanie danych w związku z realizacją przez ten podmiot określonych usług na rzecz administratora, takich jak np. rachunkowość, archiwizacja dokumentów, IT, monitoring, w określonych przypadkach rekrutacja pracowników na rzecz administratora.

RODO[1] nie zawiera definicji powierzenia przetwarzania danych osobowych. Jego istota została jednak ujęta w art. 28 ust. 1 RODO, zgodnie z którym „jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą”. Podmiot zewnętrzny nie decyduje, w przeciwieństwie do administratora, o celach i sposobach przetwarzania danych osobowych, a przetwarzanie danych osobowych przez ten podmiot, w ramach powierzenia, dokonywane jest w imieniu administratora.

Obowiązki administratora

  • Weryfikacja kontrahenta

Administrator przy wyborze podmiotu, któremu zleca wykonanie określonej usługi musi kierować się nie tylko rzetelnością świadczonej w konkretnym obszarze usługi, lecz przede wszystkim zapewnieniem przez taki podmiot wystarczających gwarancji spełnienia wymogów RODO i ochrony praw osób, których dane dotyczą. W jaki sposób administrator może sprostać temu obowiązkowi? Administrator powinien przeprowadzić audyt ww. podmiotu np. poprzez wysłanie ankiety lub kwestionariusza weryfikacyjnego, w ramach której podmiot zewnętrzny udzieli informacji w odniesieniu do kluczowych kwestii związanych z zapewnieniem bezpieczeństwa przetwarzania danych osobowych, takich jak np. przyjęte i obowiązujące polityki ochrony danych osobowych, udzielenie pracownikom i współpracownikom posiadającym dostęp do danych osobowych stosownych upoważnień, zobowiązanie ww. osób do zachowania poufności, rodzaje systemów i sposób zabezpieczania danych osobowych w środowisku teleinformatycznym, sposób fizycznego przechowywania dokumentów, czy np. stosowana jest tzw. „zasada czystego biurka” – to tylko niektóre przykładowe elementy, które powinien zawierać formularz weryfikacyjny kontrahenta.

  • Podpisanie umowy powierzenia przetwarzania danych osobowych

Kolejnym etapem, oprócz zawarcia umowy głównej o świadczenie konkretnej usługi, jest zawarcie umowy powierzenia przetwarzania danych osobowych. Umowa taka najczęściej stanowi umowę odrębną w stosunku do umowy głównej. W praktyce zdarzają się jednak sytuacje, kiedy umowa powierzenia jest częścią umowy o świadczenie konkretnej usługi.

Zgodnie z art. 28 ust. 3 RODO, „przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, prawa i obowiązki i prawa administratora.” 

W świetle RODO, umowa powierzenia powinna mieć formę pisemną, w tym formę elektroniczną (przy czym RODO nie definiuje formy elektronicznej) oraz  stanowić, że zewnętrzny podmiot wykonujący daną usługę (podmiot przetwarzający):

  1. przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora (co dotyczy także przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej);
  2. zapewnia, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub aby podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
  3. podejmuje wszelkie środki dotyczące bezpieczeństwa przetwarzania danych osobowych;
  4. przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mówi RODO, w tym podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora; zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych było zgodne z RODO;
  5. w miarę możliwości pomaga administratorowi (z uwzględnieniem charakteru przetwarzania), poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą;
  6. pomaga administratorowi wywiązać się z obowiązków określonych w RODO z uwzględnieniem charakteru przetwarzania oraz dostępnych mu informacji;
  7. po zakończeniu świadczenia usług, które dotyczą przetwarzania, usuwa lub zwraca administratorowi wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie (chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych);
  8. udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków wynikających z RODO oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

Powyższy katalog obowiązków podmiotu przetwarzającego ma charakter otwarty. Z punktu widzenia zabezpieczenia interesu administratora, umowa powierzenia w sposób szczegółowy i wyczerpujący powinna określać obowiązki leżące po stronie podmiotu przetwarzającego, a także uprawnienia przysługujące administratorowi.

  • Bieżąca weryfikacja kontrahenta

Administrator jako podmiot odpowiedzialny za bezpieczeństwo przetwarzania danych osobowych, w tym współpracę z kontrahentem, zapewniającym wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie spełniało wymogi RODO, powinien weryfikować kontrahenta nie tylko przed nawiązaniem współpracy, lecz także w jej trakcie.

  • Prowadzenie rejestru umów powierzenia

Rejestr umów powierzenia może ułatwić administratorowi zarządzanie procesem powierzenia przetwarzania danych osobowych, a tym samym ułatwić wywiązanie się z obowiązków wynikających z RODO, w szczególności w sytuacji, w której administrator ma zawarte umowy powierzenia z wieloma podmiotami przetwarzającymi.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych RODO)

 

Pobierz wpis w wersji pdf

Podobne wpisy:

Dane osobowe w kopiach zapasowych

Dane osobowe w kopiach zapasowych

Po wejściu w życie RODO, administratorzy danych nie mają łatwego zadania – praktyczne wdrożenie przepisów unijnej regulacji jest bowiem czasochłonne i dotyka wielu sfer funkcjonowania firmy, w tym także w obszarze IT. Za przykład niech posłuży pionierska aplikacja na telefon za pomocą której można umawiać się na wizytę do usługodawców, takich jak zakłady fryzjerskie, czy […]

Dokładnie przeczytaj regulamin. Nie akceptuj, jeśli nie rozumiesz

Zmiana celu przetwarzania danych osobowych na gruncie RODO

Autor tekstu: Aleksandra Eluszkiewicz Przetwarzanie danych osobowych na gruncie RODO rządzi się swoimi prawami i powinno odbywać się w oparciu o zasady w nim określone. Jedną z naczelnych zasad jest zasada ograniczenia celu, według której dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi […]

Co nowego o targetowanej reklamie w mediach społecznościowych?

Każdy specjalista ds. marketingu słyszał, a wielu korzystało lub zamierzało skorzystać, z opcji reklamy w mediach społecznościowych ukierunkowanej na konkretnego klienta lub grupę klientów. Ostatnio mieliśmy w tym zakresie ciekawe wyjaśnienia opiniodawczej Europejskiej Rady Ochrony Danych, które rzucają nieco więcej światła na to, jak rozumieć przetwarzanie danych osobowych w trakcie korzystana z usług typu „custom […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki