RODO: Różnice pomiędzy procesorem a administratorem danych14.03.2018

Na pewno każdy z nas do tej pory kojarzy słowo procesor z komputerami a dokładniej z układem scalonym, którego głównym zadaniem jest przeprowadzanie obliczeń.

W związku z wejściem w życie Rozporządzenia  Parlamentu Europejskiego i Rady dotyczącego ochronny danych osobowych  (dalej RODO) każdy z nas powinien dokładniej zaznajomić się z tym pojęciem.

Jeszcze nie wdrożyłeś RODO? Napisz do naszego eksperta:
Edward Nieboj, e-mail: edward.nieboj@pl.gt.com, tel:  +48 61 625 1139

Różnice pomiędzy procesorem a administratorem danych.

Niezwykle istotną kwestią jest również prawidłowe odróżnienie procesora od administratora danych osobowych. Różnica pomiędzy tymi dwoma podmiotami biorącymi udział w przetwarzania danych osobowych sprowadza się do tego kto decyduje o celach i środkach przetwarzania danych osobowych. W tym zakresie należy wskazać, że procesor zawsze przetwarza dane w ramach celu określonego przez administratora np. biuro księgowe przetwarza dane osobowe pracowników administratora dla potrzeb realizacji stosunku pracy istniejącego pomiędzy administratorem a jego pracownikami. Natomiast kwestia decydowania o środkach przetwarzania nie jest już decydująca dla takiego rozróżnienia, gdyż niejednokrotnie to właśnie procesor decyduje o środkach przetwarzania np. oprogramowaniu wykorzystywanym do przetwarzania danych osobowych.

Procesor  to podmiot, któremu powierzyliśmy dane osobowe do przetwarzania. Przy czym przetwarzanie należy rozumieć bardzo szeroko, to między innymi: przechowywanie, utrwalanie, organizowanie, modyfikowanie, przeglądanie, udostępnianie, niszczenie czy też usuwanie.

Przy tak zdefiniowanym zakresie przetwarzania i mając na uwadze definicje danych osobowych szybo okazuje się, że na pewno każdy z nas prowadząc biznes w jakiś sposób ma do czynienia z procesorem; albo sam nim jest albo z korzysta z jego usług.

Przykłady: przekazywanie dokumentów do niszczenia, korzystanie z usług outsourcingu księgowego, kadrowego czy też płacowego, usługi hostingu, usługi agencji marketingowy, usługi przechowywania dokumentów itp.

Outsourcing ochrony danych osobowych (RODO)

Zapoznaj się z usługą

O jakich kluczowych elementach musisz pamiętać chcąc przygotować się do zmian w przepisach?

Po pierwsze spójrz na przekazywanie danych osobowych pomiędzy administratorem i procesorem jak na proces. Miej na uwadze fundamentalne zasady dotyczące ochrony danych osobowych czyli zasadę minimalizmu, zasadę uwzględniania  ochrony prywatności w fazie projektowania oraz domyślną ochronę danych. W praktyce oznacza to, że definiując zasady współpracy pomiędzy administratorem a procesorem powinieneś zadać sobie szereg pytań. Na przykład: czy na pewno do realizacji celów biznesowych muszę koniecznie przekazywać te wszystkie dane osobowe? Czy na pewno ten konkretny podmiot, który jest procesorem jest w stanie organizacyjnie zapewnić mi bezpieczeństwo w zakresie przetwarzanych danych? Czy sposób w jaki będę przesyłał dane osobowe jest na pewno bezpieczny? itp. Już na tym etapie możemy sobie zadać dziesiątki pytań, żeby ocenić na ile realizacja wymogów biznesowych będzie bezpieczna z punktu widzenia ochrony danych osobowych.

Podpisz umowę o powierzeniu danych osobowych do przetwarzania. W umownie powinieneś zdefiniować podział obowiązków pomiędzy administratorem danych osobnych oraz procesorem. Pamiętaj, w szczególności, żeby określić przedmiot, czas trwania, cel przetwarzania rodzaj danych osobowych oraz kategorie osób, których dane dotyczącą. Czym precyzyjniej zdefiniujesz wzajemne prawa i obowiązki stron tym możesz się czuć bezpieczniej w przypadku jakiegoś sporu w przyszłości.

Współpraca pomiędzy procesorem a administratorem danych osobowych musi mieć charakter ciągły. Samo podpisanie umowy i wdrożenie jej w życie to tylko początek. Kluczowe jest to, że tak długo jak procesor przetwarza dane osobowe tak długo obie strony muszą przestrzegać postanowień umowy i zadbać o odpowiedni poziom bezpieczeństwa danych osobowych. Ustawodawca daje administratorom ważne narzędzie do monitorowania działania procesorów  umożlwiający  im dokonywanie audytów i inspekcji.

Jeżeli jesteś administratorem danych osobowych to pamiętaj o tym, że procesor ma obowiązek przekazania Tobie  niezwłocznie informacji na temat naruszenia danych osobowych. Musisz więc być gotowym pod względem proceduralnym, organizacyjnym i kompetencyjnym do podjęcia stosownych działań po otrzymaniu takiego zgłoszenia.

Na sam koniec kwestia odpowiedzialności. Pamiętajmy, że niezgodne z prawem przetwarzanie danych osobowych skutkować może nie tylko nałożeniem kar administracyjnych ale także wystąpieniem podmiotów danych z powództwem przed sąd powszechny. Uprawnienie do żądania odszkodowania przed sądem powszechnym przysługiwać będzie podmiotom danych  niezależnie od możliwości poszukiwania ochrony w postępowaniach przed organami ochrony danych osobowych takimi jak Prezes Urzędu Ochrony Danych Osobowych. Za przetwarzanie danych osobowych procesor oraz administrator danych, odpowiadają względem podmiotów danych solidarnie. Oznacza to możliwość pozwania przez taką osobę zarówno administratora danych jak również procesora. To natomiast jak będą wyglądały wzajemne rozliczenia (roszczenia regresowe), administratora / ów z procesorem / ami, w takich przypadkach określają odpowiednie przepisy RODO oraz  może określać umowa o powierzenie danych osobowych do przetwarzania, o ile jej postanowienia nie są sprzeczne z RODO.

Nowe regulacje będą stosowane od  dnia 25 maja 2018 r. Tak więc najwyższy czas, żeby bliżej przyjrzeć się tym zagadnieniom. Na koniec dnia, dla wielu organizacji jeszcze dotkliwsze niż kary finansowe może być ryzyko utraty reputacji. Nikt z nas nie chciałbym żeby jego firma zagościła na pierwszych stronach gazet, które opisywałby wyciek danych osobowych.

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com
Audyt – Podatki – Outsourcing – Konsulting
Member of Grant Thornton International Ltd

 

Artykuły powiązane:

Kto powinien wyznaczyć inspektora ochrony(...)

Czytaj więcej →

Procedura MOSS

Czytaj więcej →

Depozyt nieprawidłowy – co należy(...)

Czytaj więcej →

Zmiany w kasach fiskalnych od(...)

Czytaj więcej →

Ograniczony katalog wydatków stanowiących KUP(...)

Czytaj więcej →

Wróć do najnowszych publikacji

Dalej →
Blog podatkowy

Blog Doradców Podatkowych

Piszemy o podatkach dla przedsiębiorców

Przejdź do Bloga
Blog Księgowych

Blog Księgowość jest sexy

Księgowość jest ciekawa, intrygująca po prostu sexy.

Przejdź do Bloga
Blog Kadr i Płac

Poradnik HR

Piszemy i dyskutujemy
o kadrach, płacach
i "miękkim" HR

Przejdź do Bloga
Skontaktuj się z nami