25 maja 2018, czyli za dwa miesiące, ogólne Rozporządzenie o ochronie danych osobowych będzie stosowane jednolicie we wszystkich państwach członkowskich Unii Europejskiej. Rozporządzenie wprowadza wiele zmian w dotychczasowym sposobie ochrony danych, ale daje również przedsiębiorcy większa? swobodę w dostosowaniu sposobu ich zabezpieczenia. Powstaje również Ustawa, która uzupełnia kwestie nieuregulowane w obowiązującej obecnie U.o.d.o. z dnia 29 sierpnia 1997 r.
Jednym ze szczegółowo określonych w Rozporządzeniu tematów jest powierzenie przetwarzania danych innym podmiotom. Taka sytuacja ma miejsce, gdy przedsiębiorca przekazuje dane, których jest administratorem w celu przetwarzania ich w jego imieniu, to znaczy korzysta z zewnętrznych usług, takich jak na przykład system do faktur, CRM, zewnętrzna księgowość lub dział prawny, czy tez? wszelkiego rodzaju outsourcing, w przypadku którego dochodzi do przekazania danych osobowych.
Rozporządzenie wskazuje, iż powierzenie danych może nastąpić jedynie w drodze współpracy z podmiotami, zapewniającymi wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Rozporządzenia i chroniło prawa osób, których dane dotyczą. Zapis ten interpretowany jest przez prawników jako nałożenie na administratora obowiązku znajomości sposobu przetwarzania przez procesora powierzanych mu danych, a także upewnienia się co do zgodności stosowanych przez procesora procedur z regulacjami wprowadzanymi przez Rozporządzenie.
Przetwarzanie danych może odbywać się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora. Artykuł 28 RODO w szczegółowy sposób określa sposób uregulowania powierzenia danych do przetwarzania. Artykuł ten z dniem 25 maja 2018 roku “zastąpi” stosowany do tej pory art. 31 Ustawy o ochronie danych osobowych. Z tego powodu administratorzy danych będą zobowiązani do dostosowania treści zawieranych umów oraz aneksowania tych zawartych dotychczas o zapisy wymagane w Rozporządzeniu.
Jakie informacje powinna zawierać umowa powierzenia przetwarzania danych w obliczu RODO?
Przedmiot przetwarzania:
określenie danych, będących przedmiotem przetwarzania, na przykład dane pracowników administratora.
Czas trwania przetwarzania:
wskazanie momentu rozpoczęcia oraz zakończenia przetwarzania danych przez podmiot przetwarzający, na przykład odwołanie się do okresu obowiązywania umowy świadczenia usług.
Charakter przetwarzania:
określenie sposobu przetwarzania – zbieranie, utrwalanie, przechowywanie, usuwanie etc. oraz sposobu utrwalenia danych (nośniki papierowe, systemy informatyczne).
Cel przetwarzania:
odwołanie do celu przetwarzania danych, na przykład realizacja umowy o świadczeniu usług outsourcingowych.
Rodzaj przetwarzanych danych osobowych:
?wskazanie czy przetwarzane dane są danymi zwykłymi czy danymi wrażliwymi.
Kategorie osób, których dane dotyczą:
określenie kryteriów wspólnych dla grupy osób, których dane są przetwarzane, na przykład pracownicy administratora danych.
Obowiązki i prawa administratora:
na przykład prawo do kontrolowania procesora.
Obowiązki podmiotu przetwarzającego:
na przykład zapis o pomocy ze strony podmiotu przetwarzającego w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, zgodnie z art. 32 Rozporządzenia czy uzyskanie zgody na podpowierzenie danych.
Jeżeli powierzają Państwo dane, które administrują, do przetwarzania innym podmiotom, przed 25 maja należy uregulować powierzenie przetwarzania zgodnie z wymogami Rozporządzenia. RODO umożliwia podpisanie takiej umowy również w formie elektronicznej. Należy pamiętać, że majowa data nie wprowadza okresu przejściowego i każdy podmiot przetwarzający dane będzie musiał być w pełni przygotowany na nowe realia w przetwarzaniu danych osobowych.
Artykuł nie jest poradą prawną i jako takowa nie powinien być traktowany.
O autorze Maria Seta
Absolwentka ISIiI Uniwersytetu Warszawskiego, kontynuuje kształcenie w zakresie psychologii ekonomicznej na WP UW. Wprowadziła rozwiązania Fakturownia.pl na rynek hiszpański. Zafascynowana marketingiem oraz zachowaniami konsumenckimi. Prywatnie trener tańca i blogerka ślubna, twórca największej w Polsce grupy dla panien młodych na Facebooku.