RODO w firmie, która korzysta z usług podwykonawców

Prawo i regulacje

Kłódki i dane internetowe
Fot. stock.adobe.com/vege

Korzystanie z usług podwykonawców staje się coraz popularniejsze. Wiąże się to jednak w większości przypadków z przekazywaniem danych osobowych na zewnątrz, czyli powierzeniem ich przetwarzania, zarówno realnie, jak i wirtualnie. Aby ten proces był zgodny z prawem konieczne jest zawarcie umowy pomiędzy administratorem danych a podmiotem przetwarzającym.

RODO w firmie, która korzysta z usług podwykonawców

Artykuł 28 ust. 3 lit. h RODO wskazuje, że umowa powierzenia przetwarzania danych osobowych stanowi, iż procesor udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w RODO. Co więcej, administrator – podmiot, który powierzył dane – może przeprowadzić w tym celu audyt lub inspekcję, a przedsiębiorstwo, któremu zostały powierzone informacje zobowiązane jest do umożliwienia wykonania tej czynności.

Przepis ten jak również całe unijne rozporządzenie wymogło na wielu przedsiębiorcach, aby przykładali większą uwagę do przetwarzania i powierzania danych.

Audyt podwykonawcy

– Podwykonawca zobowiązany jest do zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniło wymagania rozporządzenia i chroniło prawa osób, których dane dotyczą. Co istotne, administrator może korzystać tylko i wyłącznie z podmiotów świadczących usługi dające takie gwarancje. Aby mieć pewność, że wszystko przebiega zgodnie z planem podmioty przekazujące dane mogą zlecić zewnętrznej firmie skontrolowanie wybranej instytucji – mówi Piotr Liwszic, specjalista ds. ochrony danych, ODO 24.

Taki audyt zgodności stanowi ogół działań, dzięki którym otrzymuje się obiektywną i niezależną ocenę funkcjonowania pod kątem spełnienia obowiązku prawnego w zakresie ochrony danych osobowych. Podczas kontroli zostanie m.in. poddana analizie posiadana dokumentacja odnośnie jej zgodności z prawem, zweryfikowany zakres i cel przetwarzania informacji czy merytoryczny system techniczno-organizacyjny ochrony danych osobowych – dodaje.

Trzeba uważać

Rozporządzenie wyraźnie podkreśla, że jeżeli procesor naruszy przepisy przy określaniu celów i sposobu przetwarzania, zostanie potraktowany tak jak ich administrator. Dlatego wszystkie przedsiębiorstwa powinny dokładnie zinwentaryzować przypadki powierzenia danych i porównać je z obecnymi regulacjami wprowadzanymi przez unijne rozporządzenie. Jeżeli okaże się, że umowy nie spełniają wszystkich norm, powinny zostać niezwłocznie zaaneksowane.

Dzięki nowym przepisom administratorzy będą wiedzieli o wszystkich podmiotach zewnętrznych, które będą miały faktyczny dostęp do powierzanych danych, ponieważ aktualnie obowiązuje zakaz podpowierzania przetwarzania danych osobowych innym podmiotom bez pisemnej zgody administratora danych.

– Warto również zwrócić uwagę, że procesor może przetwarzać powierzone informacje wyłącznie na udokumentowane polecenie podmiotu, który przekazał dane. Innymi słowy musi gromadzić i przechowywać wytyczne tak by mógł udowodnić, że sam nie podjął decyzji o zmianie sposobu czy też celu przetwarzania – wskazuje Piotr Liwszic, specjalista ds. ochrony danych, ODO 24. Co w przypadku, gdy okaże się, że procesor zmieni np. cel przetwarzania? Według RODO automatycznie staje się administratorem i ponosi pełną odpowiedzialność niejako w zastępstwie pierwotnego podmiotu, który przekazał dane. Dzięki unijnemu rozporządzeniu zyskaliśmy nowe narzędzie, jakim jest audyt procesorów, który daje nam pewność, że nasi podwykonawcy nie łamią warunków zawartej umowy – podsumowuje.

Źródło: ODO 24

Udostępnij artykuł: