Mapa drogowa #ROADtoRODO Przystanek 5

Cyprian Gutkowski

Od maja 2018 r. zacznie obowiązywać RODO – unijne rozporządzenie dotyczące ochrony danych osobowych. Rozporządzenie to znacznie poszerza obowiązki podmiotów przetwarzających dane osobowe, na ewentualne naruszenia natomiast wprowadza kary finansowe. Aby ułatwić przedsiębiorcom tę niełatwą drogę przygotowań do wdrożenia RODO Fundacja Bezpieczna Cyberprzestrzeń rozpoczęła projekt #ROADtoRODO.

Zapraszamy w naszą podróż #ROADtoRODO choć droga nie jest prosta  (INFOGRAFIKA). Dziś to już przystanek nr 5. Zachęcamy do śledzenia kolejnych odcinków.

 

Już 11 Stycznia zapraszamy na Szkolenie

 

Przygotowanie nowych dokumentów, zgody na przetwarzanie, przygotowanie nowych umów z procesorami/negocjacje obecnych umów.

Dotarliśmy do momentu, w którym należy przedstawić piąty znak drogowy na naszej mapie. W poprzednim dokonaliśmy audytu umów z podmiotami przetwarzającymi dla nas dane tzw. „procesorami”. Najprawdopodobniej wszystkie z nich wymagać będą zmiany, ponieważ RODO nakłada na „procesora” dodatkowe ograniczenia.

 

Przystanek nr 5 – Przygotowanie nowych dokumentów, zgody na przetwarzanie, przygotowanie nowych umów z procesorami/negocjacje obecnych umów.

 

Należy pamiętać, że zawsze, gdy powierzamy innemu podmiotowi do przetwarzania dane osobowe (może to być m.in. outsourcing kadrowo-płacowy, archiwizacja danych, usuwanie danych) konieczne przy tym jest zawarcie odpowiedniej umowy powierzenia przetwarzania danych osobowych.
W obecnie obowiązującej ustawie umowa powierzenia musi zawierać praktycznie jedynie zakres i cel przetwarzania. Co powinno znaleźć się w umowie powierzenia w związku z wejściem w życie RODO? Jest to przedmiot i czas trwania powierzenia, charakter i cel przetwarzania, rodzaj danych, kategorie podmiotów danych, warunki podpowierzenia, obowiązki „procesora”, obowiązki i prawa administratora w tym zobowiązanie do odpowiedniego zabezpieczenia danych, jak i  zobowiązanie do pomocy administratorowi danych w sytuacji naruszenia. Dodatkową zmianą techniczną jest możliwość zawierania umów powierzenia w formie elektronicznej, do tej pory musiały być to umowy na piśmie. Samo powierzenie określa art. 28 RODO.

„Procesor” nie może dokonać podpowierzenia przetwarzania danych kolejnemu podmiotowi bez wyraźnej pisemnej zgody administratora danych osobowych. Obecnie reguluje to wyłącznie treść umowy i wola stron. Ma to na celu zaznajomienie administratora z wszystkimi podmiotami, które faktycznie będą miały styczność z jego danymi.

Podmiot przetwarzający powierzone dane musi dokumentować polecenie przetwarzania wychodzące od administratora, tak by mógł w każdej chwili udokumentować, że legalnie dokonywał ich przetwarzania i nie sam podjął decyzję o zmianie sposobu czy celu przetwarzania.

„Procesor” odpowiada za odpowiedni poziom bezpieczeństwa danych, które przetwarza. Musi więc dostosować wszelkie swoje procesy organizacyjne do wymogów rozporządzenia RODO. Obecnie reguluje to także tylko umowa przetwarzania i wyrażona w niej wola stron.

Podmiot przetwarzający powierzone mu dane musi dodatkowo pomagać administratorowi danych osobowych w wywiązywaniu się z obowiązku informacyjnego wobec podmiotów danych, jak i w przypadku naruszenia ochrony danych osobowych w obowiązku notyfikacyjnym.

Dodatkowo „procesor” musi umożliwić administratorowi danych osobowych dokonanie audytu przetwarzania, dając faktycznie administratorowi danych możliwość dokonywania kontroli swoich procedur. Dotychczas również powierzano tę kwestię woli stron określonej umową przetwarzania.

Bardzo istotnym obowiązkiem „procesora” jest zapewnienie, że osoby wyznaczone przez niego w jego organizacji do przetwarzania danych danego administratora, zachowają to w tajemnicy.

Wreszcie podmiot przetwarzający powierzone dane ma obowiązek po zakończeniu przetwarzania usunąć lub zwrócić administratorowi danych wszelkie przetwarzane dane. Obowiązek ten dotyczy również wszelkich kopi tak elektronicznych jak i analogowych, które zostały przez niego wykonane.

 

Obowiązki procesora wynikające z RODO:

– Wdraża odpowiednie środki bezpieczeństwa.
– Prowadzi rejestr czynności przetwarzania.
– Zgłasza naruszenie do ADO.
– Pomaga wypełniać obowiązki informacyjne.
– Odpowiada za szkody wynikające z niedopełnienia obowiązków.
– Odpowiada przed administratorem za swoich podwykonawców.
– Odpowiedzialność odszkodowawcza względem osoby jakiej dane dotyczą.

 

Treść umowy ulega więc istotnej zmianie. Wzrasta zakres obowiązków „procesora”. Zwiększona jest bezpośrednia odpowiedzialność podmiotu przetwarzającego, co właśnie prowadzi do konieczności zmiany właściwie wszystkich umów powierzenia, co przełoży się bezpośrednio na wyższe koszty usługi przetwarzania. Trzeba więc stworzyć je od nowa uwzględniając w nich wszystko to co wymieniono powyżej.

Czemu taki nacisk położyliśmy na umowy z procesorem? Zmiany niosą za sobą jeszcze jeden skutek, może się okazać, że podmioty przetwarzające dane mogą odmówić zawarcia nowej umowy o przetwarzaniu i wyrazić gotowość do przetwarzania w sposób ustalony w dotychczasowej umowie powierzenia. Oznaczać będzie to, że administrator danych będzie musiał szukać nowego „procesora” jednocześnie ponosząc koszty umowy zawartej pod obowiązującymi starymi przepisami, co rodzi dodatkowe koszty, warto więc zrobić to jak najszybciej, by nie nadwyrężyć organizacyjnego budżetu.

Należy pamiętać też o przygotowaniu innych nowych dokumentów. Wprawdzie RODO nie przewiduje jakiegoś rozbudowanego obowiązku posiadania odpowiedniej dokumentacji, wskazując jedynie „rejestr czynności przetwarzania”, jako takowy dokument. To jednak warto przygotować nowe dokumenty organizacyjne, takie jak „polityki bezpieczeństwa”, czy „instrukcję zarządzania systemami informatycznymi” służącymi do przetwarzania danych osobowych. Dokumenty te w znacznym stopniu pomogą pracownikom postępować zgodnie z procedurami organizacyjnymi przystosowanymi już do rozporządzenia RODO. Zgodnie z RODO stworzenie właściwej dokumentacji organizacyjnej pozostaje w gestii przedsiębiorców, a treść tych dokumentów powinna być uzależniona od oceny ryzyka dla każdego administratora.

 

Zapraszamy na szkolenie podczas którego m.in. dokładnie omawiamy każdy z punktów naszej mapy drogowej #ROADtoRODO.

SZCZEGÓŁOWE INFORMACJE – Szkolenie „Poznaj Niuanse RODO”

 

Share Button