Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Polecamy

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania
 

Bartosz Marcinkowski, Robert Brodzik, Klaudia Czarniecka, Michał Kluska, Katarzyna Kulesza, Olga Legat, Justyna Tyc

Cena: 128,00 zł

Zamów

Kontrolowanie procesora – ważne uprawnienie ADO

20-09-2019 Autor: Łukasz Pociecha

Uregulowanie relacji pomiędzy administratorem a podmiotem przetwarzającym dane (zwanym procesorem) jest jedną z podstawowych czynności, które administrator musi uwzględnić w systemie ochrony danych swojej organizacji. Analizujemy uprawnienia administratora w zakresie sprawdzenia stosowanych przez podmiot przetwarzający środków mających zapewnić zgodność przetwarzania danych z wymogami rodo.

 

Liczne audyty pokazują, że w znacznej mniejszości pozostają obecnie podmioty, które z pełną odpowiedzialnością mogą zadeklarować, że nie korzystają z usług podmiotów przetwarzających dane na ich zlecenie. Bardzo często administratorzy nie są świadomi, że w relacji z kontrahentami dochodzi do powierzenia przetwarzania w rozumieniu przepisów o ochronie danych osobowych. Autorzy przepisów rodo dostrzegli ten trend, czego skutkiem jest znacznie bardziej rygorystyczne podejście do kwestii powierzenia przetwarzania danych osobowych. Nakłada ono na podmioty po obu stronach tej relacji liczne obowiązki, ale również prawa.

Kim jest procesor?

Zgodnie z definicją zawartą w art. 4 pkt 8 rodo podmiotem przetwarzającym (procesorem) jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Z przywołanej definicji wynika, że działa on jedynie na zlecenie administratora, który faktycznie decyduje o celach i sposobach przetwarzania danych osobowych. Potwierdza to również art. 29 rodo, w którym ustawodawca wskazuje, że podmiot przetwarzający przetwarza dane wyłącznie na polecenie administratora. Wyjątkiem są sytuacje, w których obowiązek ten wynika z obowiązujących przepisów prawa. Jako przykłady podmiotów przetwarzających, co do zasady, można wskazać:

  • biura księgowe;
  • zewnętrzny call center;
  • firmy archiwizujące dokumenty;
  • partnerów świadczących usługi techniczne (np. rozwijanie i utrzymywanie systemów informatycznych i serwisów internetowych);
  • agencje marketingowe;
  • podmioty zewnętrzne odpowiedzialne za prowadzenie spraw kadrowo-płacowych.

Umowa powierzenia – wybór oraz dalsza współpraca z podmiotem przetwarzającym

Ogół relacji łączącej administratora z podmiotem przetwarzającym powinien być unormowany w ramach umowy powierzenia przetwarzania danych. Treść tej umowy została szczegółowo uregulowana w obowiązujących przepisach unijnego rozporządzenia.

Kluczowy jest w tym zakresie art. 28 rodo. Wskazuje on kwestie, które powinny stanowić przedmiot uzgodnień pomiędzy stronami takiej umowy. Należy do nich między innymi obowiązek podmiotu przetwarzającego polegający na udostępnianiu administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 rodo oraz umożliwienie administratorowi przeprowadzenia audytu (zob. art. 28 ust. 3 lit. h rodo). Należy pamiętać, że art. 28 ust. 1 rodo (uzupełniony treścią motywu 81 preambuły rodo) przewiduje obowiązek po stronie samego administratora, który przy powierzeniu przetwarzania danych osobowych zobowiązany jest do korzystania jedynie z takich podmiotów, które gwarantują wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających, że przetwarzanie spełnia wymogi rodo oraz chroni prawa osób, których dane dotyczą.

Wybór przez administratora podmiotu przetwarzającego (procesora) powinien być bardzo uważny. Decyzja w tym zakresie powinna być podejmowana przy uwzględnieniu odpowiednich gwarancji podmiotu przetwarzającego w zakresie wdrożenia środków technicznych i organizacyjnych zapewniających zgodność przetwarzania danych z przepisami rodo, w szczególności w zakresie bezpieczeństwa przetwarzania.

Jak faktycznie dokonać weryfikacji podmiotu przetwarzającego? Pomocne w tym mogą być uprawnienia administratora określone w art. 28 ust. 3 lit. h rodo, tj.:

  • dostęp do wszelkich informacji niezbędnych w zakresie spełnienia obowiązków wynikających z rodo, a stanowiących o bezpieczeństwie przetwarzania danych;
  • audyt podmiotu przetwarzającego dane w imieniu administratora.

Prawo do audytowania podmiotu przetwarzającego

Samo prawo do audytowania podmiotu przetwarzającego nie powinno budzić wątpliwości. Zastanawiać może jednak zakres przeprowadzanego audytu (patrz: Zakres audytu).

Kształtująca się praktyka w stosowaniu przepisów rodo wskazuje na regulowanie w ramach umowy powierzenia uprawnienia po stronie administratora do przeprowadzenia audytu również u podprocesorów. Tendencja ta wynika prawdopodobnie z treści art. 28 ust. 4 rodo. Zgodnie z nim podmiot przetwarzający może podpowierzyć dane osobowe jedynie na podstawie umowy zawartej ze swoim podwykonawcą, której treść zapewniać będzie stosowanie przez podwykonawcę środków gwarantujących przetwarzanie zgodnie z wymogami rodo. W interesie administratora pozostaje zatem zapewnienie sobie możliwości przeprowadzenia audytu u podprocesora w celu utrzymania pełnej kontroli nad przetwarzanymi przez niego danymi osobowymi. Coraz popularniejszym działaniem w zakresie konstruowania umów powierzenia przetwarzania danych pomiędzy administratorem a podmiotem przetwarzającym jest wprowadzanie postanowień, mających na celu „zniechęcenie” administratora do skorzystania z jego uprawnień w zakresie audytowania podmiotu przetwarzającego. Tego typu działania należy uznać za nieuzasadnione i bezpodstawne.

Przykładem takiego działania jest żądanie stosownej kwoty z tytułu opłaty za sam fakt przeprowadzenia sprawdzenia. Należy podkreślić, że nie chodzi w tym miejscu o pokrycie kosztów poniesionych przez procesora w związku z przeprowadzanym audytem (np. udział pracowników procesora w czynnościach audytowych), co można uznać za rozwiązanie uzasadnione. Mowa jest o postanowieniach przewidujących z góry określoną kwotę kilkudziesięciu tysięcy złotych za sam fakt przeprowadzenia audytu. Takie postanowienia narzucają organizacje mające silną pozycję na rynku.

 

[...]

 

Autor jest adwokatem, ekspertem ochrony danych w ODO 24, audytorem wiodącym ISO/IEC 27001.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.