Czy na pewno masz umowę przetwarzania danych osobowych?

CZY NA PEWNO MASZ UMOWĘ PRZETWARZANIA DANYCH OSOBOWYCH?

Coraz częściej słyszy się o kontrolach zgodności przetwarzania danych osobowych z RODO przeprowadzanych przez państwa członkowskie Unii Europejskiej. O ile jednak do tej pory duży nacisk kładziono przede wszystkim na wypełnianie obowiązku informacyjnego czy też prawidłowe zbieranie zgód na przetwarzanie danych osobowych, o tyle obecnie wzmożone zostały kontrole związane z posiadaniem przez administratorów danych osobowych odpowiednich umów o powierzenie przetwarzania danych z Procesorem.

Najwięcej kontroli w tym zakresie przeprowadził duński organ nadzorczy, jednakże to w Niemczech nałożono pierwszą karę finansową za brak umowy o powierzenie przetwarzania danych osobowych w wysokości 5.000 EUR. Kontrola była wynikiem skargi złożonej na małą firmę wysyłkową w Hesji, jednym z krajów związkowych Niemiec. Przepisy RODO w kwestii przekazywania danych osobowych posługują się dwiema kategoriami podmiotów otrzymujących te dane – są to:

ODBIORCA I PODMIOT PRZETWARZAJĄCY (TZW. PROCESOR)

W dużym uproszczeniu, podmiot przetwarzający można zdefiniować jako podmiot, który przetwarza dane osobowe w imieniu i na zlecenie administratora danych osobowych. Jego cechą charakterystyczną jest zatem to, że w zakresie przetwarzania danych osobowych jest niejako uzależniony od administratora, wykonując tylko wskazane przez niego operacje na danych (procesor nie decyduje samodzielnie o celach i sposobach przetwarzania danych i zobowiązany jest np. zaprzestać przetwarzania danych gdy administrator zrezygnuje z jego usług). Odbiorcą jest zaś podmiot, któremu administrator przekazuje dane osobowe, ale podmiot ten dysponuje własnymi podstawami ich przetwarzania, samodzielnie ustala cele i sposoby tego przetwarzania, przez co staje się samoistnym administratorem danych.

Typowym przykładem odbiorcy jest bank, na którego przepisy prawa nakładają osobne obowiązki związane z przetwarzaniem danych osobowych (np. związane z przeciwdziałaniem praniu brudnych pieniędzy), a za procesora uważa się np. biuro księgowe świadczące zewnętrzne usługi księgowe na rzecz przedsiębiorcy.

UMOWA O POWIERZANIE PRZETWARZANIA DANYCH OSOBOWYCH

Zgodnie z art. 28 ust. 1 RODO administrator powinien korzystać wyłącznie z usług podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych służących bezpieczeństwu danych osobowych. Na gruncie RODO Administrator i Procesor działają wspólnie w celu spełnienia obowiązków wynikających z Rozporządzenia, co oznacza, iż Procesor zobowiązany jest do aktywnego pomagania Administratorowi w wypełnianiu ww. obowiązków. Warto też wspomnieć, iż aktualnie trwają konsultacje społeczne w sprawie opracowania przez PUODO standardowych klauzul umownych, o których mowa w art. 28 ust. 8 RODO.