Procesorzy w obszarze IT

Rozporządzenie wprowadza wiele nowych obowiązków wobec i dla podmiotów przetwarzających, bo takim terminem RODO określa podmioty przetwarzające dane osobowe w imieniu administratora.

Rewolucyjnym obowiązkiem jest konieczność wybierania godnych zaufania partnerów. Artykuł 28 ust. 1 określa, że administrator: korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

 

Rozporządzenie dodaje też, że bez zgody nie wolno powierzać dalej przetwarzania danych osobowych – podmiot
przetwarzający: nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

 

Podmiot przetwarzający (procesor) w razie stwierdzenia, iż doszło do naruszenia ochrony danych osobowych, zgłasza je administratorowi (art. 33 ust. 2 rozporządzenia) i nie musi ich zgłaszać do Prezesa Urzędu Ochrony Danych Osobowych. Jeśli nie zgłosi naruszenia, naraża się na kary określone w art. 83 ust. 4 RODO.

 

Już obecnie umowa z podmiotem przetwarzającym dane osobowe w imieniu administratora (procesorem) musi być zawarta na piśmie (art. 31 ust. 1 ustawy o ochronie danych osobowych). Rozporządzenie dodaje, że może to być forma elektroniczna.

 

Przygotowując się w IT do zapewnienia zgodności z rozporządzeniem, trzeba będzie:

  • zinwentaryzować wszystkie przypadki powierzenia przetwarzania danych (data center, administrowanie systemami, usługi chmurowe itd.);
  • zapewnić, że umowy są na piśmie oraz ocenić, w jakim stopniu regulują kwestie zdefiniowane przez rozporządzenie, a jeśli nie zawierają wszystkich wymaganych elementów, powinny zostać aneksowane;
  • upewnić się, jak partnerzy i dostawcy przetwarzający dane osobowe na zlecenie zamierzają zapewnić zgodność z RODO – administrator może korzystać wyłącznie z podmiotów dających wystarczające gwarancje...;
  • utrzymywać listę takich podmiotów, a jeśli one dalej powierzają powierzone im dane osobowe – listę całego łańcucha dalszych podmiotów przetwarzających;
  • w przypadku korzystania z dostawców z innych krajów, a szczególnie z państw trzecich (np. USA, Rosja, Chiny, Indie),

należy w umowach (też na piśmie) zastosować tzw. standardowe klauzule umowne (art. 28 ust. 7 i 8); w przypadku USA można korzystać z programu Privacy Shield.