Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Warunki dopuszczalności powierzenia – lista kontrolna

05-12-2017 Autor: Mariusz Krzysztofek

Podstawowym warunkiem dopuszczalności powierzenia przetwarzania danych w imieniu administratora jest poddanie planowanego outsourcingu analizie. Analiza ma zapewnić, że wybór podmiotu przetwarzającego (procesora) został uzależniony od zapewnienia wystarczających gwarancji.

 

Podmiot przetwarzający powinien zapewnić takie gwarancje, jak: wiedza fachowa, wiarygodność, zasoby, środki techniczne i organizacyjne, zgodność przetwarzania z rodo i ochrona praw podmiotów danych (art. 28 rodo, motyw 81 preambuły rodo). Powierzenie czynności w ramach outsourcingu jest jedną z kluczowych zasad ochrony danych, ponieważ zwiększa ryzyko dla ciągłej i niezakłóconej działalności administratora oraz dla poufności danych, w tym zupełnie podstawowych zagrożeń, takich jak brak realnej możliwości zapewnienia, że powierzone dane zostały usunięte przez procesora po zakończeniu współpracy.

Obowiązek zapewnienia zgodności z  rodo

Wybór podmiotu przetwarzającego na podstawie gwarancji jego kompetencji i poziomu bezpieczeństwa decyduje o rzeczywistym standardzie ochrony danych. Tym bardziej wraz z rosnącym zróżnicowaniem procesów składających się na usługi i rosnącą specjalizacją outsourcingu, a jednocześnie zasadą, że administrator danych nie może zwolnić się z odpowiedzialności wobec klientów i regulatorów za szkody i naruszenia w ramach outsourcingu.


Formą wykazania przez administratora, że wywiązał się z obowiązku zapewnienia wystarczających gwarancji zgodności z rodo i ochrony praw podmiotów danych może być m.in. stosowanie przez procesora zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji.

Uruchomienie trybu akredytacji i certyfikacji na podstawie rodo i nowej ustawy o ochronie danych osobowych jest jeszcze kwestią czasu, ale gwarancją właściwego poziomu ochrony mogą być również inne rodzaje certyfikatów, odnoszących się do określonych procesów, np. Payment Card Industry Data Security Standard (PCI DSS), potwierdzający odpowiedni poziom bezpieczeństwa danych posiadaczy kart płatniczych. Możliwość wykazania gwarancyjnej funkcji certyfikatu wynika z jego rzeczywistej wiarygodności, a więc wiarygodności podmiotu certyfikującego.

Należy też podkreślić znaczenie wdrożenia planu ciągłości działania (business continuity plan – BCP), przynajmniej dla szczególnie istotnych procesów zleconych podmiotom zewnętrznym.

Umowa między administratorem a  procesorem

Prawodawca unijny w rodo wymaga, aby podstawą powierzenia przetwarzania danych była umowa określająca relacje między administratorem i podmiotem przetwarzającym, m.in. przedmiot i czas trwania przetwarzania, charakter i cele przetwarzania, rodzaj danych osobowych i kategorie osób, których dane dotyczą, konkretne zadania i obowiązki procesora.

Powierzenie przetwarzania jest w praktyce elementem outsourcingu, umowie outsourcingowej musi więc towarzyszyć, jako jeden z jej działów lub odrębny dokument, umowa powierzenia zawierająca te elementy.


Umowa ta jest też albo wprost, albo pośrednio, jako podstawa dalszych instrukcji, udokumentowanym poleceniem administratora przetwarzania danych w jego imieniu. Trzeba podkreślić, że z istoty outsourcingu wynika, iż procesor nie może w imieniu administratora wykonywać czynności i przetwarzać danych, które nie należą lub nie są związane z działalnością, do której prowadzenia jest uprawniony administrator.

Niedopuszczalne jest wykroczenie przez podmiot przetwarzający poza określony w umowie o powierzeniu przetwarzania cel i zakres. Przykładem takiego naruszenia byłoby wykorzystanie powierzonych danych do realizacji przez procesora jego własnych celów, np. włączenie bazy marketingowej administratora przez call center, któremu ją powierzył, do baz, które służą obsłudze również innych klientów tego procesora.

Dobór odpowiednich środków

Do podstawowych obowiązków administratora i podmiotu przetwarzającego należy wdrożenie odpowiednich środków zabezpieczających technicznych i organizacyjnych. Odpowiednich, czyli adekwatnych do charakteru, zakresu, kontekstu i celów przetwarzania oraz do prawdopodobieństwa wystąpienia i wagi naruszenia dla praw lub wolności podmiotu danych.

[...]

Autor jest doktorem habilitowanym nauk prawnych, radcą prawnym, pracuje jako Director, Privacy Counsel – EMEA, Herbalife.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

______________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.