Kategorie

Wpływ RODO na wybór podwykonawców przez administratora

ekspert z zakresu ochrony danych osobowych
Wpływ RODO na wybór podwykonawców przez administratora/Fot. Shutterstock
Jak RODO wpływa na wybór podwykonawców przez administratora? Czy zawsze istnieje relacja powierzenia przetwarzania danych osobowych?

Nie będzie przesady w stwierdzeniu, że zasadniczo każdy administrator korzysta z usług podmiotów przetwarzających albo prędzej czy później będzie z takich usług korzystał. Hosting, usługa pocztowa, zewnętrzne biuro rachunkowe, zewnętrzna obsługa informatyczna – te usługi z dużą dozą prawdopodobieństwa wywołają konieczność zawarcia umowy powierzenia przetwarzania danych osobowych.

Podmiot przetwarzający

Czy jednak podwykonawstwo zawsze oznacza istnienie relacji powierzenia przetwarzania danych osobowych? W świetle art. 4 pkt 8) RODO[1] podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora”. Jeżeli planowane jest przetwarzanie - czyli np. zbieranie danych, przechowywanie, organizowanie, utrwalanie, niszczenie etc. – które ma nastąpić nie w imieniu własnym podwykonawcy, lecz w imieniu administratora, należy uznać, że występuje relacja powierzenia przetwarzania danych osobowych. Wywołuje to konieczność zawarcia umowy powierzenia przetwarzania danych osobowych. Wprawdzie art. 29 RODO dopuszcza określenie zasad ochrony danych osobowych w ramach relacji powierzenia w drodze nie tylko umowy, ale też na podstawie tzw. innego instrumentu prawnego, (które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora), najczęściej mamy jednak do czynienia z umową powierzenia przetwarzania danych osobowych.

Obowiązki administratora

Reklama

Umowa powierzenia powinna określać przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora. Minimalną treść umowy powierzenia określa art. 28 ust. 3 RODO.

Wymóg zawarcia umowy powierzenia nie jest jednak jedynym, który dotyczy administratora w przypadku zaistnienia tego typu relacji. Art. 28 ust. 1 RODO nakłada bowiem na administratora dodatkowe obowiązki w zakresie weryfikacji podmiotu przetwarzającego. W myśl powołanego przepisu administrator powierzający przetwarzanie danych osobowych, korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

Czy taka weryfikacja jest konieczna

Weryfikacja może polegać na zebraniu informacji od potencjalnego podmiotu przetwarzającego na temat stosowanych środków technicznych i organizacyjnych ochrony danych osobowych, ale powinna być procesem ciągłym, rozciągającym się także na etap realizacji umowy. Konieczność weryfikacji i uwzględnienie jej w postanowieniach umowy powierzenia nie powinny podlegać dyskusji. Pozytywny wynik takiej weryfikacji oznacza zdolność podmiotu przetwarzającego do zapewnienia ochrony danych osobowych na poziomie wymaganym przez RODO.

Spotykany w praktyce opór podwykonawcy co do poddania się takiej weryfikacji. oznacza często niezrozumienie wymogów, jakie na podmioty przetwarzające nakłada RODO, w tym także wiedzy o wynikających z RODO regulacjach kierowanych wprost do podmiotu przetwarzającego.

Jakie błędy popełnia administrator?

Reklama

Pierwszym błędem jest niewłączanie inspektorów ochrony danych lub osób odpowiedzialnych za przetwarzanie danych osobowych w organizacji w procesy przetwarzania danych osobowych albo pomijanie rekomendacji dotyczących gwarancji właściwej ochrony danych osobowych. Drugim - nieuwzględnienie wymogów ochrony danych osobowych przy wyborze podmiotów współpracujących oraz przy podejmowaniu ustaleń dotyczących udostępniania danych osobowych takim podmiotom. Trzecim - odkładanie w czasie momentu zawarcia umowy powierzenia przetwarzania danych osobowych. Przesuwanie „na później” momentu zawarcia takiej umowy może oznaczać niezawarcie jej w ogóle, a jednocześnie jest przetwarzaniem danych osobowych przez podmioty nieuprawnione. Kolejnym – niewyciągnięcie wniosków płynących z negocjacji treści umowy powierzenia z potencjalnym podmiotem przetwarzającym; jeśli podmiot przetwarzający kwestionuje obowiązki wynikające z RODO, np. z art. 28 RODO, nie może to oznaczać poważnego podejścia do zabezpieczeń, wymogów dotyczących dalszych podmiotów przetwarzających, obowiązków dokumentacyjnych, realizacji praw podmiotów danych etc.

Wreszcie, należałoby powiedzieć, że znajomość wymogów ochrony danych osobowych wynikających z RODO, jak i świadomość konieczności zawarcia umowy powierzenia powinny być obecnie standardem poświadczających właściwe podejście do wymogów ochrony danych osobowych. Brak dostatecznej weryfikacji podmiotu przetwarzającego lub negatywny wynik takiej weryfikacji, mogą oznaczać, że rozważany podwykonawca nie daje wystarczających gwarancji prawidłowego postępowania z danymi osobowymi.


[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Źródło: INFOR
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code

    © Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

    Prawo
    1 sty 2000
    12 maja 2021
    Zakres dat:

    Bezpłatne leki dla kobiet w połogu?

    Bezpłatne leki mają przysługiwać również kobietom w połogu. Obecnie z takiego uprawnienia mogą korzystać kobiety w ciąży.

    Alimenty natychmiastowe. Ministerstwo Sprawiedliwości o reformie

    Alimenty natychmiastowe zdaniem Ministerstwa Sprawiedliwości mają poprawić sytuację dzieci. Ile będą wynosiły takie alimenty?

    Od kiedy bez maseczek na powietrzu?

    Od kiedy bez maseczek na powietrzu? To pytanie pojawia się często w związku z wejściem w życie nowego rozporządzenia dotyczącego obostrzeń.

    Jak radzić sobie z komornikiem?

    Jak radzić sobie z komornikiem? Co w chwili, kiedy dłużnik stał się kompletnie niewypłacalny?

    Bon turystyczny - czy termin ważności zostanie wydłużony?

    Bon turystyczny z dłuższym terminem ważności? Analizy dotyczące wprowadzenia takiego rozwiązania prowadzi resort rozwoju.

    Fundusz kompensacyjny - co z projektem ustawy?

    Co z ustawą, która wprowadza fundusz kompensacyjny? Kiedy projekt trafi do Sejmu? Kto będzie mógł uzyskać rekompensatę?

    Ile może zająć komornik z emerytury w 2021 r.?

    Ile może zająć komornik z emerytury w 2021 r.? Jakie są aktualne kwoty świadczeń wolnych od egzekucji i potrąceń?

    Dzieciobójstwo w polskim prawie karnym

    Dzieciobójstwo w praktyce stanowi uprzywilejowany typ zabójstwa. Kto może być sprawcą dzieciobójstwa i co za nie grozi?

    Świadek koronny, czyli jaki?

    „Świadek koronny” jest pojęciem dość znanym. Zazwyczaj ludziom kojarzy się, że przysługują mu „jakieś korzyści”.

    Kiedy Boże Ciało w 2021 r.?

    Kiedy wypada Boże Ciało w 2021 r.? Czy jest to dzień wolny od pracy? Co z długim weekendem i zakupami?

    W pandemii konsumenci częściej zgłaszają problemy

    W pandemii konsumenci częściej zgłaszają się o pomoc w rozwiązywaniu transgranicznych problemów. Czego dotychczas dotyczyły skargi?

    ETPCz o wyborze polskiego TK

    Europejski Trybunał Praw Człowieka (ETPCz) uznał, iż wybór polskiego Trybunału Konstytucyjnego był nieprawidłowy, co spowodowało niezgodność z prawem składu orzekającego.

    Bon turystyczny. Czym jest Certyfikat Dobrych Praktyk?

    Podmiot realizujący bon turystyczny może otrzymać Certyfikat Dobrych Praktyk. Co to oznacza dla turysty?

    Maseczki na świeżym powietrzu? Zmiany od 15 maja 2021 r.

    Maseczki na świeżym powietrzu nie będą obowiązkowe od 15 maja 2021 r. pod warunkiem zachowania odpowiedniego dystansu.

    Emerytury stażowe. Prezydent powołał Radę ds. Społecznych

    Wypracowanie propozycji tzw. emerytury stażowej ma być jednym z zadań Rady ds. Społecznych, którą powołał prezydent.

    Czy biuro podróży może wymagać od turysty szczepienia?

    Szczepień przeciw COVID-19 może wymagać organizujące wyjazd biuro podróży, przyjmujący turystę hotel czy przewoźnik. Czy jest to zgodne z prawem?

    Internet popularny w komunikacji z administracją publiczną

    Internet na Mazowszu ma coraz większe znaczenie jako kanał komunikacji z administracją publiczną. Jakie są statystyki?

    Rzecznik TSUE o polskim systemie odpowiedzialności dyscyplinarnej sędziów

    Według opinii rzecznika generalnego TSUE trybunał powinien orzec, iż polskie prawo w sprawie systemu odpowiedzialności dyscyplinarnej sędziów jest sprzeczne z prawem unijnym.

    Bezpieczne hasło - czyli jakie?

    Bezpieczne hasło jest pierwszą linią obrony przed cyberprzestępcami. Jak skutecznie tworzyć hasło i nie dać się hakerom?

    Szczepienia w zakładach karnych - projekt

    Szczepienia w zakładach karnych zakłada projekt rozporządzenia, który przygotowało Ministerstwo Zdrowia. To nie jedyne miejsce, o które zostanie rozszerzony katalog miejsc, w których będą wykonywane szczepienia.

    SMS-y z pytaniem o alimenty nękaniem? SN uchylił wyrok

    SMS-y z pytaniem o alimenty zostały przez męża uznane za nękanie. Zdaniem Sądu Najwyższego nie można bez wątpliwości uznać, iż doszło do popełnienia występku.

    Zadłużeni emeryci. Co mogą zrobić w ciężkiej sytuacji finansowej?

    Emeryci znajdują się w coraz gorszych sytuacjach finansowych. Według danych Krajowego Rejestru Długów, zadłużonych w tej grupie przybywa.

    Po roku większa liczba bezrobotnych – porównanie [TABELA]

    Liczba bezrobotnych w Polsce w 2021 r. wzrosła w porównaniu do roku ubiegłego. Jak wygląda porównanie w poszczególnych województwach?

    Z jakich wydatków zrezygnują konsumenci w II kwartale 2021 r.?

    Wydatki zakupowe planuje ograniczyć 40% Polaków. Z deklaracji konsumentów wynika, że głównym powodem ograniczeń są rosnące ceny.

    Rejestracja na szczepienie COVID - 4 sposoby

    Rejestracja na szczepienie COVID może odbyć się na 4 sposoby - infolinia, online, SMS i kontakt z konkretnym punktem szczepień. Jak zapisać się na szczepienie?