GIODO radzi jak bezpiecznie powierzyć przetwarzanie danych innym podmiotom - RODO 2018 r.

Administratorzy danych coraz częściej decydują się na powierzanie przetwarzania danych osobowych innym podmiotom, które w ich imieniu wykonują część operacji na danych. Trudno w tym kontekście nie dostrzec np. coraz popularniejszych rozwiązań chmurowych. Administrator – chcąc wykorzystać możliwości obliczeniowe chmury – decyduje się na przetwarzanie danych przy użyciu tego właśnie instrumentu, powierzając tym samym proces przetwarzania danych usługodawcy świadczącemu tego rodzaju usługę.

W takich sytuacjach ważne jest, by podpisując umowę powierzenia, nie stracić kontroli nad danymi osobowymi, czyli nie dopuścić do sytuacji, w której powierzone dane będą wykorzystywane w innym celu niż ten określony przez samego administratora. Pamiętaj więc, aby powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać wyłącznie z usług podmiotów przetwarzających posiadających odpowiednią wiedzę fachową, wiarygodność i zasoby. W szczególności jeżeli chodzi o gwarancje wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom ogólnego rozporządzenia o ochronie danych osobowych, w tym wymogom bezpieczeństwa przetwarzania. Mogą to być na przykład podmioty, które posiadać będą odpowiednie certyfikaty wydane na podstawie rozporządzenia.

Zobacz również: Prawo administracyjne

Powierzenie danych powinno być regulowane umową lub innym instrumentem prawnym, określającym przedmiot i czas trwania przetwarzania, charakter i cele przetwarzania, rodzaj danych osobowych i kategorie osób, których dane dotyczą. Ta umowa lub inny instrument prawny powinny również uwzględniać konkretne zadania i obowiązki podmiotu przetwarzającego w kontekście planowanego przetwarzania oraz ryzyko naruszenia praw lub wolności osoby, której dane dotyczą.

Polecamy: RODO. Ochrona danych osobowych. Przewodnik po zmianach

W stosunku do obecnych regulacji niezwykle ważną zmianą jest to, że na podmiocie przetwarzającym spoczywają bardzo podobne obowiązki jak na administratorze danych. Przede wszystkim musi on również wdrożyć środki techniczne i organizacyjne odpowiednie do ryzyk przetwarzania – tak by to przetwarzanie odpowiadało wymogom rozporządzenia. Wśród innych obowiązków podmiotu przetwarzającego można wskazać:

- prowadzenie rejestru czynności przetwarzania,

- zgłaszanie naruszeń ochrony danych do organu nadzorczego, czyli GIODO,

- wyznaczenie inspektora ochrony danych.

Zachęcamy więc do przeglądu zawartych przez Ciebie umów powierzenia i upewnienia się, że podmiot, któremu powierzyłeś dane, będzie spełniał wszystkie określone w rozporządzeniu wymagania, zaś sama umowa zawiera wszelkie niezbędne elementy.