RODO – umowy powierzenia danych osobowych

Począwszy od 25 maja 2018 wszyscy stanęliśmy przed faktem wejścia w życie unijnych przepisów RODO. Przepisy nakładają na administratorów danych osobowych nowe obowiązki. Niekiedy ustalenie kto jest administratorem danych nie jest wcale oczywiste. Popatrzmy, jak to wygląda w przypadku firm, które przetwarzają dane osobowe na zlecenie.

 

Przetwarzanie danych innych podmiotów

 

Kiedy prowadzimy firmę, szkołę czy inną działalność polegającą na przetwarzaniu danych własnych pracowników, jest rzeczą oczywistą, że występujemy w stosunku do nich w roli administratora danych osobowych. Sytuacja komplikuje się, gdy nasza działalność polega na wykonywaniu usług przetwarzania danych dla innych podmiotów. Zgodnie z RODO występujemy wtedy w podwójnej roli, jako:

  • administrator danych osobowych – w stosunku do danych osobowych własnych pracowników,

  • podmiot przetwarzający – w stosunku do danych osobowych powierzonych nam przez obsługiwane podmioty.

W sytuacji takiej znajdują się biura rachunkowe, firmy doradcze, informatyczne oraz centra usług wspólnych, powołane w celu obsługi samorządowych jednostek budżetowych, a także gospodarstwa pomocnicze urzędów, itp. Nie jest tu ważna wielkość firmy, czy liczba zatrudnionych pracowników. Również małe podmioty mogą się zajmować przetwarzaniem dużej ilości danych.

 

Umowa powierzenia

 

Będąc podmiotem przetwarzającym dane osobowe powierzone przez ich administratora musimy obowiązkowo przed rozpoczęciem przetwarzania zawrzeć z administratorem danych umowę powierzenia przetwarzania danych osobowych. Jest to podstawowy wymóg, którego spełnienie chroni nas przed wysokimi karami finansowymi. Zawarcie umowy przetwarzania danych osobowych zaliczane jest do środków organizacyjnych ochrony danych.

W umowie powierzenia wskazujemy na rodzaj przetwarzanych danych, termin obowiązywania, możliwość dalszego pod-powierzania przetwarzania danych oraz ustalamy prawa administratora do skontrolowania podmiotu przetwarzającego i obowiązki tegoż podmiotu w zakresie chronienia danych. Termin obowiązywania umowy powierzenia można ustalić na czas obowiązywania umowy głównej – w przypadku usług outsourcingowych taka podstawowa umowa wiąże obydwa podmioty, lecz w kwestiach RODO okazuje się niewystarczająca.

 

Obowiązki podmiotu przetwarzającego

 

Podmiot przetwarzający posiada takie same obowiązki w zakresie ochrony danych osobowych, jak ich administrator. Oznacza to, że powinien zastosować środki ochrony danych:

  • organizacyjne (powołanie inspektora ochrony danych, wdrożenie polityki ochrony, instrukcji zarządzania systemem informatycznym, stosowanie informacji i zgód osób, których dane przetwarza, szkolenia pracowników, stosowanie analizy ryzyka i inne),

  • fizyczne (zabezpieczenie budynków, pomieszczeń, komputerów, kopii zapasowych i inne).

Pod-powierzenie danych osobowych innym podmiotom

 

Podmiot przetwarzający może dodatkowo pod-powierzyć przetwarzanie danych osobowych, np. firmie informatycznej, dostarczającej i serwisującej oprogramowanie komputerowe, w którym są przetwarzane dane. Pracownicy takiej firmy przy konserwacji oprogramowania mają dostęp do danych, zatem konieczna jest umowa powierzenia. Jednak, aby ją zawrzeć, zgodnie z RODO – podmiot przetwarzający musi mieć na to zgodę administratora na dalsze powierzanie danych.

Leave a Comment