Na pewno każdy z nas do tej pory kojarzy słowo procesor z komputerami a dokładniej z układem scalonym, którego głównym zadaniem jest przeprowadzanie obliczeń. W związku z wejściem w życie Rozporządzenia Parlamentu Europejskiego i Rady dotyczącego ochronny danych osobowych (dalej RODO) każdy z nas powinien dokładniej zaznajomić się z tym pojęciem.
Jeszcze nie wdrożyłeś RODO? Napisz do naszego eksperta: Edward Nieboj, e-mail: edward.nieboj@pl.gt.com, tel: +48 61 625 1139
Różnice pomiędzy procesorem a administratorem danych.
Niezwykle istotną kwestią jest również prawidłowe odróżnienie procesora od administratora danych osobowych. Różnica pomiędzy tymi dwoma podmiotami biorącymi udział w przetwarzaniu danych osobowych sprowadza się do tego, kto decyduje o celach i środkach przetwarzania danych osobowych. W tym zakresie należy wskazać, że procesor zawsze przetwarza dane w ramach celu określonego przez administratora np. biuro księgowe przetwarza dane osobowe pracowników administratora dla potrzeb realizacji stosunku pracy istniejącego pomiędzy administratorem a jego pracownikami. Natomiast kwestia decydowania o środkach przetwarzania nie jest już decydująca dla takiego rozróżnienia, gdyż niejednokrotnie to właśnie procesor decyduje o środkach przetwarzania np. oprogramowaniu wykorzystywanym do przetwarzania danych osobowych.
Procesor to podmiot, któremu powierzyliśmy dane osobowe do przetwarzania. Przy czym przetwarzanie należy rozumieć bardzo szeroko, to między innymi: przechowywanie, utrwalanie, organizowanie, modyfikowanie, przeglądanie, udostępnianie, niszczenie czy też usuwanie.
Przy tak zdefiniowanym zakresie przetwarzania i mając na uwadze definicje danych osobowych szybo okazuje się, że na pewno każdy z nas prowadząc biznes w jakiś sposób ma do czynienia z procesorem; albo sam nim jest albo korzysta z jego usług.
Przykłady: przekazywanie dokumentów do niszczenia, korzystanie z usług outsourcingu księgowego, kadrowego czy też płacowego, usługi hostingu, usługi agencji marketingowy, usługi przechowywania dokumentów itp.
Ważny fragment
Współpraca pomiędzy procesorem a administratorem danych osobowych musi mieć charakter ciągły. Samo podpisanie umowy i wdrożenie jej w życie to tylko początek. Kluczowe jest to, że tak długo jak procesor przetwarza dane osobowe tak długo obie strony muszą przestrzegać postanowień umowy i zadbać o odpowiedni poziom bezpieczeństwa danych osobowych.
O jakich kluczowych elementach musisz pamiętać chcąc przygotować się do zmian w przepisach?
Po pierwsze spójrz na przekazywanie danych osobowych pomiędzy administratorem i procesorem jak na proces. Miej na uwadze fundamentalne zasady dotyczące ochrony danych osobowych czyli zasadę minimalizmu, zasadę uwzględniania ochrony prywatności w fazie projektowania oraz domyślną ochronę danych. W praktyce oznacza to, że definiując zasady współpracy pomiędzy administratorem a procesorem powinieneś zadać sobie szereg pytań. Na przykład: czy na pewno do realizacji celów biznesowych muszę koniecznie przekazywać te wszystkie dane osobowe? Czy na pewno ten konkretny podmiot, który jest procesorem jest w stanie organizacyjnie zapewnić mi bezpieczeństwo w zakresie przetwarzanych danych? Czy sposób w jaki będę przesyłał dane osobowe jest na pewno bezpieczny? itp. Już na tym etapie możemy sobie zadać dziesiątki pytań, żeby ocenić na ile realizacja wymogów biznesowych będzie bezpieczna z punktu widzenia ochrony danych osobowych.
Podpisz umowę o powierzeniu danych osobowych do przetwarzania. W umownie powinieneś zdefiniować podział obowiązków pomiędzy administratorem danych osobnych oraz procesorem. Pamiętaj, w szczególności, żeby określić przedmiot, czas trwania, cel przetwarzania rodzaj danych osobowych oraz kategorie osób, których dane dotyczącą. Im precyzyjniej zdefiniujesz wzajemne prawa i obowiązki stron, tym bezpieczniej możesz się czuć w przypadku jakiegoś sporu w przyszłości.
Współpraca pomiędzy procesorem a administratorem danych osobowych musi mieć charakter ciągły. Samo podpisanie umowy i wdrożenie jej w życie to tylko początek. Kluczowe jest to, że tak długo jak procesor przetwarza dane osobowe tak długo obie strony muszą przestrzegać postanowień umowy i zadbać o odpowiedni poziom bezpieczeństwa danych osobowych. Ustawodawca daje administratorom ważne narzędzie do monitorowania działania procesorów umożliwiający im dokonywanie audytów i inspekcji.
Jeżeli jesteś administratorem danych osobowych to pamiętaj o tym, że procesor ma obowiązek przekazania Tobie niezwłocznie informacji na temat naruszenia danych osobowych. Musisz więc być gotowym pod względem proceduralnym, organizacyjnym i kompetencyjnym do podjęcia stosownych działań po otrzymaniu takiego zgłoszenia.
Zapisz się do newslettera „Alerty RODO” – nie daj się zaskoczyć!
Na sam koniec kwestia odpowiedzialności. Pamiętajmy, że niezgodne z prawem przetwarzanie danych osobowych skutkować może nie tylko nałożeniem kar administracyjnych ale także wystąpieniem podmiotów danych z powództwem przed sąd powszechny. Uprawnienie do żądania odszkodowania przed sądem powszechnym przysługiwać będzie podmiotom danych niezależnie od możliwości poszukiwania ochrony w postępowaniach przed organami ochrony danych osobowych takimi jak Prezes Urzędu Ochrony Danych Osobowych. Za przetwarzanie danych osobowych procesor oraz administrator danych, odpowiadają względem podmiotów danych solidarnie. Oznacza to możliwość pozwania przez taką osobę zarówno administratora danych jak również procesora. To natomiast jak będą wyglądały wzajemne rozliczenia (roszczenia regresowe), administratora / ów z procesorem / ami, w takich przypadkach określają odpowiednie przepisy RODO oraz może określać umowa o powierzenie danych osobowych do przetwarzania, o ile jej postanowienia nie są sprzeczne z RODO.
Nowe regulacje będą stosowane od dnia 25 maja 2018 r. Tak więc najwyższy czas, żeby bliżej przyjrzeć się tym zagadnieniom. Na koniec dnia, dla wielu organizacji jeszcze dotkliwsze niż kary finansowe może być ryzyko utraty reputacji. Nikt z nas nie chciałbym żeby jego firma zagościła na pierwszych stronach gazet, które opisywałby wyciek danych osobowych.