Dane osobowe po nowemu (9), czyli powierzenie przetwarzania danych osobowych.

Niektóre firmy przetwarzają ogromne ilości danych osobowych wykonując usługi dla podmiotów przekazujących dane. Są to na przykład  firmy prowadzące obsługę kadrowo-księgową przedsiębiorstw, czy zakłady realizujące usługi użyteczności publicznej wobec mieszkańców na zlecenie gminy. Takie podmioty nazywa się podmiotami przetwarzającym lub procesorami. Na podmiotach przetwarzających dane osobowe  ciążą określone prawem obowiązki: muszą odpowiednio zabezpieczyć przetwarzane dane, prowadzić dokumentację i posiadać właściwe systemy informatyczne w celu przetwarzania danych.

Obowiązki związane z powierzeniem przetwarzania danych

Ustawa o ochronie danych osobowych przede wszystkim nakłada na administratora i procesora obowiązek zawarcia na piśmie umowy, która określa cel i zakres przetwarzania danych osobowych. Podmioty przetwarzające powinny ponadto podjąć odpowiednie  środki zabezpieczające zbiór danych, który został im udostępniony.  Muszą także spełnić wymagania dotyczące prowadzenia dokumentacji i stosowanych zabezpieczeń określone w rozporządzeniu wykonawczym do ustawy  - prowadzenie polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym. Administrator jest współodpowiedzialny za podjęcie przez procesora tych zabezpieczeń.

Pod rządami  Ogólnego Rozporządzenia o Ochronie Danych Osobowych („RODO”) konstrukcja zabezpieczenia danych przy powierzeniu ich przetwarzania będzie nieco inna. Administrator będzie miał obowiązek korzystania wyłącznie z usług takich procesorów, którzy będą zapewniać wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. A zatem administrator będzie musiał wykazać, że wybierając podmiot, któremu powierzył przetwarzanie danych, opierał się na konkretnych gwarancjach zastosowania prawidłowych środków bezpieczeństwa. Przy tym należy zauważyć, że w przeciwieństwie do dotychczasowych przepisów nie wystarczy wykazanie, że podmiot przetwarzający posiada dokumentację opisaną w rozporządzeniu wykonawczym oraz zabezpieczenia wskazane w załączniku do niego. Od maja 2018 r. aby administrator mógł powierzyć przetwarzanie danych osobowych, podmiot przetwarzający będzie musiał dawać gwarancję, że będzie stosował takie środki, że dane będą bezpieczne (ustawodawca nie przedstawia jednak listy takich środków).

Takie ukształtowanie wymogów dotyczących powierzenia przetwarzania sprawia, że istotne znaczenie będą miały w przyszłości certyfikaty i znaki jakości przyznawane podmiotom przetwarzającym. Art. 42 RODO przewiduje ustanawianie przez państwa członkowskie i instytucje nadzorujące mechanizmów certyfikacji oraz znaków jakości. Oznaczenia te mają mieć charakter dobrowolny. Nie jest wykluczone, że tego typu oznaczenia nabiorą  znaczenia w procesie uzyskiwania zamówień publicznych. Skoro bowiem administrator zobowiązany będzie wykazać, że podmiot przetwarzający dał gwarancje odpowiedniego zabezpieczenia danych, najprostszym sposobem wykazania tego wydaje się być oparcie na certyfikacie lub znaku jakości.

Umowa powierzenia przetwarzania danych osobowych

W RODO bardziej szczegółowo została uregulowana także umowa powierzenia przetwarzania danych. Od przyszłego roku umowa ta określać będzie obowiązkowo przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora. Oprócz doprecyzowania postanowień umowy, na uwagę zasługuje także konieczność wprowadzenia do jej treści szeregu obowiązków po stronie podmiotu przetwarzającego np. opracowania środków umożliwiających mu udzielenie pomocy administratorowi w wykonywaniu obowiązku odpowiadania na żądania osób, których dane dotyczą albo obowiązku współpracy z organem nadzorczym. Procesor będzie także zobowiązany do poddania się audytowi ze strony administratora.

Photo by Flavio Takemoto