Nowe zadania instytucji publicznych administrujących danymi

Procesor - podmiot przetwarzający dane w imieniu instytucji publicznej.
Niedopuszczalne będzie powierzanie dalszego przetwarzania danych osobowych bez zgody administratora. Podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego bez uprzedniej, szczegółowej lub ogólnej, pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody instytucja powinna informować administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
Administrator musi wyrażać zgodę na dalsze powierzanie przetwarzania.
Dotychczas umowa z podmiotem przetwarzającym dane osobowe w imieniu administratora (procesorem) również musiała być zawarta na piśmie. Rozporządzenie uzupełnia tę zasadę - umowa może też zostać uregulowana innym instrumentem prawnym.
W myśl art. 33 ust. 2 RODO, podmiot przetwarzający dane w imieniu instytucji publicznej, w razie stwierdzenia naruszenia ochrony danych osobowych, ma obowiązek zgłosić ten fakt administratorowi. Nie musi natomiast zgłaszać tego do UODO.
Obowiązkiem podmiotu przetwarzającego będzie prowadzenie rejestru wszelkich kategorii czynności przetwarzania, dokonywanych w imieniu instytucji. Procesor będzie miał również obowiązek udostępnić taki rejestr na żądanie UODO, a także powołać inspektora ochrony danych osobowych, jeśli zaistnieje przynajmniej jeden z czynników, o których stanowi art. 37 ust. 1 Rozporządzenia.
Działający w imieniu instytucji publicznej procesor będzie bezpośrednio odpowiedzialny za nałożone na niego obowiązki z zakresu ochrony danych osobowych. Będzie m.in. zobowiązany:
● wdrażać stosowne środki techniczne i organizacyjne,
● prowadzić rejestr czynności przetwarzania,
● w konkretnych okolicznościach powołać inspektora ochrony danych (IOD),
● spełnić te same wymagania przekazywania danych do państw trzecich, jak administrator,
● notyfikować administratora o incydentach.
Prezes UODO będzie mógł egzekwować stosowanie RODO bezpośrednio w stosunku do przetwarzającego.
Przepisy RODO wyraźnie podkreślają, że jeżeli podmiot przetwarzający naruszy zasady rozporządzenia przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania (co nie wyklucza stosowania przepisów art. 82, 83 i 84 RODO, dotyczących sankcji, kar, odszkodowań i odpowiedzialności). Oznacza to np., że jeśli dana instytucja publiczna powierzy dane, które zgromadziła, innej instytucji, a ta zmieni pierwotny cel przetwarzania i inaczej wykorzysta te dane, to ta druga instytucja stanie się dodatkowym administratorem danych. Taki stan obowiązywał już wcześniej, ale nie jako bezpośredni zapis prawny, a efekt interpretacji przepisów.
RADA
Przygotowując się do nowych przepisów, instytucje publiczne powinny:
1) przeprowadzić inwentaryzację wszystkich przypadków powierzenia przetwarzania danych,
2) zapewnić, że są w formie umowy na piśmie,
3) ocenić, w jakim stopniu regulują kwestie zdefiniowane przez RODO.
Jeśli okaże się, że umowy nie zawierają wszystkich wymaganych elementów, powinny zostać zmienione (aneksowane). Administratorzy powinni na bieżąco oceniać zgodność współpracujących podmiotów z obecnymi i przyszłymi przepisami.
Artykuł niniejszy jest fragmentem publikacji: RODO dla samorządu i administracji. Zmiany od 4 maja 2019 roku
© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.
Komentarze(0)
Pokaż: