Compliance 360° w firmie (PDF)
INFORLEX Administracja
Oferta specjalna – Nowa matryca stawek VAT – PKWiU, CN + programProcesor - podmiot przetwarzający dane w imieniu instytucji publicznej.
Niedopuszczalne będzie powierzanie dalszego przetwarzania danych osobowych bez zgody administratora. Podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego bez uprzedniej, szczegółowej lub ogólnej, pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody instytucja powinna informować administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
reklama
reklama
Administrator musi wyrażać zgodę na dalsze powierzanie przetwarzania.
Dotychczas umowa z podmiotem przetwarzającym dane osobowe w imieniu administratora (procesorem) również musiała być zawarta na piśmie. Rozporządzenie uzupełnia tę zasadę - umowa może też zostać uregulowana innym instrumentem prawnym.
W myśl art. 33 ust. 2 RODO, podmiot przetwarzający dane w imieniu instytucji publicznej, w razie stwierdzenia naruszenia ochrony danych osobowych, ma obowiązek zgłosić ten fakt administratorowi. Nie musi natomiast zgłaszać tego do UODO.
Obowiązkiem podmiotu przetwarzającego będzie prowadzenie rejestru wszelkich kategorii czynności przetwarzania, dokonywanych w imieniu instytucji. Procesor będzie miał również obowiązek udostępnić taki rejestr na żądanie UODO, a także powołać inspektora ochrony danych osobowych, jeśli zaistnieje przynajmniej jeden z czynników, o których stanowi art. 37 ust. 1 Rozporządzenia.
Działający w imieniu instytucji publicznej procesor będzie bezpośrednio odpowiedzialny za nałożone na niego obowiązki z zakresu ochrony danych osobowych. Będzie m.in. zobowiązany:
● wdrażać stosowne środki techniczne i organizacyjne,
● prowadzić rejestr czynności przetwarzania,
● w konkretnych okolicznościach powołać inspektora ochrony danych (IOD),
● spełnić te same wymagania przekazywania danych do państw trzecich, jak administrator,
● notyfikować administratora o incydentach.
Prezes UODO będzie mógł egzekwować stosowanie RODO bezpośrednio w stosunku do przetwarzającego.
Przepisy RODO wyraźnie podkreślają, że jeżeli podmiot przetwarzający naruszy zasady rozporządzenia przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania (co nie wyklucza stosowania przepisów art. 82, 83 i 84 RODO, dotyczących sankcji, kar, odszkodowań i odpowiedzialności). Oznacza to np., że jeśli dana instytucja publiczna powierzy dane, które zgromadziła, innej instytucji, a ta zmieni pierwotny cel przetwarzania i inaczej wykorzysta te dane, to ta druga instytucja stanie się dodatkowym administratorem danych. Taki stan obowiązywał już wcześniej, ale nie jako bezpośredni zapis prawny, a efekt interpretacji przepisów.
RADA
Przygotowując się do nowych przepisów, instytucje publiczne powinny:
1) przeprowadzić inwentaryzację wszystkich przypadków powierzenia przetwarzania danych,
2) zapewnić, że są w formie umowy na piśmie,
3) ocenić, w jakim stopniu regulują kwestie zdefiniowane przez RODO.
Jeśli okaże się, że umowy nie zawierają wszystkich wymaganych elementów, powinny zostać zmienione (aneksowane). Administratorzy powinni na bieżąco oceniać zgodność współpracujących podmiotów z obecnymi i przyszłymi przepisami.
Artykuł niniejszy jest fragmentem publikacji: RODO dla samorządu i administracji. Zmiany od 4 maja 2019 roku
