Korzystanie z usług podwykonawców staje się coraz popularniejsze. Wiąże się to jednak w większości przypadków z przekazywaniem danych osobowych na zewnątrz, czyli powierzeniem ich przetwarzania, zarówno realnie, jak i wirtualnie. Aby ten proces był zgodny z prawem konieczne jest zawarcie umowy pomiędzy administratorem danych a podmiotem przetwarzającym. Co więcej, można skontrolować naszych procesorów czy, aby na pewno zapewniają odpowiednie bezpieczeństwo wszystkim informacjom.
Nowe możliwości
Artykuł 28 ust. 3 lit. h RODO wskazuje, że umowa powierzenia przetwarzania danych osobowych stanowi, iż procesor udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w RODO. Co więcej, administrator - podmiot, który powierzył dane - może przeprowadzić w tym celu audyt lub inspekcję, a przedsiębiorstwo, któremu zostały powierzone informacje zobowiązane jest do umożliwienia wykonania tej czynności.
Przepis ten jak również całe unijne rozporządzenie wymogło na wielu przedsiębiorcach, aby przykładali większą uwagę do przetwarzania i powierzania danych.
Podwykonawca zobowiązany jest do zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniło wymagania rozporządzenia i chroniło prawa osób, których dane dotyczą. Co istotne, administrator może korzystać tylko i wyłącznie z podmiotów świadczących usługi dające takie gwarancje. Aby mieć pewność, że wszystko przebiega zgodnie z planem podmioty przekazujące dane mogą zlecić zewnętrznej firmie skontrolowanie wybranej instytucji - mówi Piotr Liwszic, specjalista ds. ochrony danych, ODO 24. Taki audyt zgodności stanowi ogół działań, dzięki którym otrzymuje się obiektywną i niezależną ocenę funkcjonowania pod kątem spełnienia obowiązku prawnego w zakresie ochrony danych osobowych. Podczas kontroli zostanie m.in. poddana analizie posiadana dokumentacja odnośnie jej zgodności z prawem, zweryfikowany zakres i cel przetwarzania informacji czy merytoryczny system techniczno-organizacyjny ochrony danych osobowych - dodaje.
Trzeba uważać
Rozporządzenie wyraźnie podkreśla, że jeżeli procesor naruszy przepisy przy określaniu celów i sposobu przetwarzania, zostanie potraktowany tak jak ich administrator. Dlatego wszystkie przedsiębiorstwa powinny dokładnie zinwentaryzować przypadki powierzenia danych i porównać je z obecnymi regulacjami wprowadzanymi przez unijne rozporządzenie. Jeżeli okaże się, że umowy nie spełniają wszystkich norm, powinny zostać niezwłocznie zaaneksowane.
Dzięki nowym przepisom administratorzy będą wiedzieli o wszystkich podmiotach zewnętrznych, które będą miały faktyczny dostęp do powierzanych danych, ponieważ aktualnie obowiązuje zakaz podpowierzania przetwarzania danych osobowych innym podmiotom bez pisemnej zgody administratora danych.
Warto również zwrócić uwagę, że procesor może przetwarzać powierzone informacje wyłącznie na udokumentowane polecenie podmiotu, który przekazał dane. Innymi słowy musi gromadzić i przechowywać wytyczne tak by mógł udowodnić, że sam nie podjął decyzji o zmianie sposobu czy też celu przetwarzania - wskazuje Piotr Liwszic, specjalista ds. ochrony danych, ODO 24. Co w przypadku, gdy okaże się, że procesor zmieni np. cel przetwarzania? Według RODO automatycznie staje się administratorem i ponosi pełną odpowiedzialność niejako w zastępstwie pierwotnego podmiotu, który przekazał dane. Dzięki unijnemu rozporządzeniu zyskaliśmy nowe narzędzie, jakim jest audyt procesorów, który daje nam pewność, że nasi podwykonawcy nie łamią warunków zawartej umowy - podsumowuje.
poleca:
