Nowe zadania instytucji publicznych administrujących danymi

Procesor - podmiot przetwarzający dane w imieniu instytucji publicznej.

Niedopuszczalne będzie powierzanie dalszego przetwarzania danych osobowych bez zgody administratora. Podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego bez uprzedniej, szczegółowej lub ogólnej, pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody instytucja powinna informować administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

Administrator musi wyrażać zgodę na dalsze powierzanie przetwarzania.

Dotychczas umowa z podmiotem przetwarzającym dane osobowe w imieniu administratora (procesorem) również musiała być zawarta na piśmie. Rozporządzenie uzupełnia tę zasadę - umowa może też zostać uregulowana innym instrumentem prawnym.

W myśl art. 33 ust. 2 RODO, podmiot przetwarzający dane w imieniu instytucji publicznej, w razie stwierdzenia naruszenia ochrony danych osobowych, ma obowiązek zgłosić ten fakt administratorowi. Nie musi natomiast zgłaszać tego do UODO.

Obowiązkiem podmiotu przetwarzającego będzie prowadzenie rejestru wszelkich kategorii czynności przetwarzania, dokonywanych w imieniu instytucji. Procesor będzie miał również obowiązek udostępnić taki rejestr na żądanie UODO, a także powołać inspektora ochrony danych osobowych, jeśli zaistnieje przynajmniej jeden z czynników, o których stanowi art. 37 ust. 1 Rozporządzenia.

Działający w imieniu instytucji publicznej procesor będzie bezpośrednio odpowiedzialny za nałożone na niego obowiązki z zakresu ochrony danych osobowych. Będzie m.in. zobowiązany:

● wdrażać stosowne środki techniczne i organizacyjne,

● prowadzić rejestr czynności przetwarzania,

● w konkretnych okolicznościach powołać inspektora ochrony danych (IOD),

● spełnić te same wymagania przekazywania danych do państw trzecich, jak administrator,

● notyfikować administratora o incydentach.

Prezes UODO będzie mógł egzekwować stosowanie RODO bezpośrednio w stosunku do przetwarzającego.

Przepisy RODO wyraźnie podkreślają, że jeżeli podmiot przetwarzający naruszy zasady rozporządzenia przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania (co nie wyklucza stosowania przepisów art. 82, 83 i 84 RODO, dotyczących sankcji, kar, odszkodowań i odpowiedzialności). Oznacza to np., że jeśli dana instytucja publiczna powierzy dane, które zgromadziła, innej instytucji, a ta zmieni pierwotny cel przetwarzania i inaczej wykorzysta te dane, to ta druga instytucja stanie się dodatkowym administratorem danych. Taki stan obowiązywał już wcześniej, ale nie jako bezpośredni zapis prawny, a efekt interpretacji przepisów.

RADA

Przygotowując się do nowych przepisów, instytucje publiczne powinny:

1) przeprowadzić inwentaryzację wszystkich przypadków powierzenia przetwarzania danych,

2) zapewnić, że są w formie umowy na piśmie,

3) ocenić, w jakim stopniu regulują kwestie zdefiniowane przez RODO.

Jeśli okaże się, że umowy nie zawierają wszystkich wymaganych elementów, powinny zostać zmienione (aneksowane). Administratorzy powinni na bieżąco oceniać zgodność współpracujących podmiotów z obecnymi i przyszłymi przepisami.

Artykuł niniejszy jest fragmentem publikacji: RODO dla samorządu i administracji. Zmiany od 4 maja 2019 roku