Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Ochrona danych osobowych w działach kadr zgodnie z rodo

Ochrona danych osobowych w działach kadr zgodnie z rodo
 

Andrzej Boboli, Mateusz Borkiewicz, Agata Cisowska, Kamila Koszewicz, Grzegorz Leśniewski

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Współdziałanie administratora z przetwarzającym w trakcie kontroli UODO

21-05-2019 Autor: Adrian Szutkiewicz

Zawarcie i realizacja umowy powierzenia przetwarzania danych osobowych nie zwalnia administratora z ciążących na nim obowiązków wynikających z przepisów rodo. Niezależnie od sposobu zorganizowania procesów przetwarzania danych osobowych administrator powinien mieć możliwość sprawowania pełnej kontroli nad tym, co dzieje się z danymi osobowymi, za które jest odpowiedzialny.

 

Zgodnie z zasadą rozliczalności określoną w art. 5 ust. 2 rodo nie wystarczy, by administrator przestrzegał zasad przetwarzania danych osobowych określonych w art. 5 ust. 1 rodo. Jednocześnie musi być w stanie wykazać (np. przed organem nadzorczym) prawidłowość swojego postępowania. Praktyczna realizacja zasady rozliczalności z art. 5 ust. 2 rodo jest szczególnie problematyczna w przypadku powierzenia przetwarzania danych osobowych, w trakcie którego określone czynności dotyczące przetwarzania danych osobowych są przekazywane „na zewnątrz” poza strukturę organizacyjną administratora.

Jak zabezpieczyć swoje interesy?

Nakaz przestrzegania zasady rozliczalności z art. 5 ust. 2 rodo poprzez odesłanie do zasady zgodności z prawem z art. 5 ust. 1 lit. a rodo będzie dla administratora (i podmiotu przetwarzającego) źródłem obowiązku obejmującego zarówno wykazanie, że umowa powierzenia przetwarzania danych osobowych ma prawidłową treść, jak i to, że jej realizacja w praktyce przebiega zgodnie z prawem. Zgodnie z art. 84 ust. 1 pkt 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej: uodo) kontrolujący mają prawo do wglądu do dokumentów i informacji mających bezpośrednio związek z zakresem przedmiotowym kontroli.

W jaki sposób kontrolowany administrator danych osobowych może zabezpieczyć swoje interesy w przypadku, w którym zakres przedmiotowy kontroli przestrzegania przepisów o ochronie danych osobowych obejmie relacje powierzenia przetwarzania danych osobowych, a kontrolujący zażądają od niego przedstawienia kompletu związanych z nią informacji i dokumentów?

Z punktu widzenia wykazania przestrzegania przez administratora zasady rozliczalności w ramach istnienia relacji powierzenia przetwarzania danych osobowych kluczowym przepisem jest art. 28 ust. 3 lit. h rodo, zgodnie z którym w umowie powierzenia przetwarzania danych osobowych powinny znaleźć się zapisy zobowiązujące podmiot przetwarzający do udostępnienia administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 rodo. Jeżeli zakres przedmiotowy kontroli przestrzegania przepisów o ochronie danych osobowych wskazany w imiennym upoważnieniu do przeprowadzenia kontroli (art. 81 ust. 2 pkt 4 uodo) będzie obejmował kwestie powierzenia przetwarzania danych osobowych, kontrolowany będzie mógł zwrócić się do przetwarzającego o udostępnienie mu wszelkich informacji, którymi ten dysponuje i które pozwolą kontrolowanemu na wykazanie, iż postanowienia umowy powierzenia przetwarzania danych osobowych odpowiadają wymogom określonym w art. 28 rodo, a relacja powierzenia przetwarzania danych osobowych przebiega prawidłowo.

Z punktu widzenia zabezpieczenia interesów administratora ważne jest także, by w umowie powierzenia przetwarzania danych osobowych znalazło się postanowienie podtrzymujące obowiązywanie zapisów obligujących podmiot przetwarzający dane osobowe do współpracy z administratorem również po zakończeniu realizacji umowy. Pomoc przetwarzającego może się okazać niezbędna w przypadku kontroli odbywającej się u administratora nawet kilka lat po wykonaniu umowy powierzenia przetwarzania danych osobowych.

Praktyczne aspekty wsparcia, jakiego podmiot przetwarzający może udzielić administratorowi

a) Wykazanie wyboru właściwego podmiotu przetwarzającego (art. 28 ust. 1 rodo)

Administrator powinien korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rodo i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 rodo).

Punktem odniesienia dla zweryfikowania, czy działalność podmiotu przetwarzającego jest zgodna z prawem, powinien być model „idealnego podmiotu”, który spełnia wszelkie wymogi rodo. Administrator nie może skorzystać z usług podmiotu przetwarzającego, który oferuje obniżony poziom bezpieczeństwa danych osobowych, argumentując, że taki sam (nieprawidłowy) poziom zabezpieczeń jest oferowany przez niego samego.

b) Zapewnienie, że przetwarzanie danych osobowych przez podmiot przetwarzający odbywa się wyłącznie na udokumentowane polecenie administratora (art. 28 ust. 3 lit. a rodo)

Powierzenie przetwarzania danych osobowych nie oznacza, że administrator traci kontrolę nad czynnościami, jakie mają być wykonywane na danych osobowych. W dalszym stopniu może decydować o tym, co dzieje się z danymi, z zastrzeżeniem jednak że jego nadzór będzie ograniczony do wydawania poleceń przetwarzającemu. Jeżeli ten nie będzie się do nich stosował, administrator może podjąć decyzję o zakończeniu wzajemnej współpracy.

W trakcie przeprowadzanej kontroli administrator może zażądać od przetwarzającego przedstawienia treści wydanych mu poleceń dotyczących sposobu przetwarzania danych osobowych oraz działań, jakie w związku z wydanymi poleceniami podjął podmiot przetwarzający dane osobowe, tak aby wykazać przed kontrolującymi, iż administrator zrealizował wszelkie ciążące na nim w tym zakresie obowiązki.

Żądanie od przetwarzającego wskazania, w jaki sposób zastosował się do poleceń administratora, będzie miało również znaczenie dla określenia możliwości pociąg­nięcia go do odpowiedzialności za szkody spowodowane przetwarzaniem, w którym brał udział. Jeżeli okaże się, że podmiot przetwarzający działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom, wówczas będzie mógł zostać pociągnięty do odpowiedzialności przez podmioty danych (art. 82 ust. 2 rodo).

c) Wykazanie legalności przekazania danych do krajów trzecich oraz organizacji międzynarodowych (art. 28 ust. 1 rodo w zw. z art. 44–49 rodo)

Obowiązki związane z zapewnieniem legalności przekazania danych osobowych do państw trzecich oraz organizacji międzynarodowych (rozdział V rodo) dotyczą zarówno administratora, jak i podmiotu przetwarzającego dane w jego imieniu.

Jeżeli podmiot przetwarzający będzie chciał przekazać dane osobowe objęte powierzeniem poza terytorium EOG, wówczas obok oddzielnej legalizacji takiego działania zgodnie z przepisami rozdziału V rodo będzie musiał również uzyskać udokumentowane polecenie administratora na dokonanie takiej czynności.

W przypadku objęcia zakresem przedmiotowym kontroli prawidłowości wszystkich międzynarodowych transferów danych osobowych przetwarzanych w imieniu i na rzecz administratora danych osobowych, będzie on mógł zażądać od przetwarzającego np. udzielenia informacji o instrumencie prawnym, na podstawie którego opiera on przekazanie danych poza EOG, czy wskazania sposobu, w jaki przetwarzający wdrożył polecenie administratora dotyczące przekazania danych do państwa trzeciego lub organizacji międzynarodowej.

 

[...]

 

Autor jest prawnikiem w krakowskim oddziale Kancelarii Raczkowski Paruch sp. k.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.