Obszar powierzania danych jest wciąż procesem zaniedbanym w RODO. Firmy wciąż podpisują umowy, które nie powinny mieć miejsca lub nie generują i archiwizują odpowiednich umów lub innych dokumentów, kiedy do powierzenia danych rzeczywiście dochodzi.
Dużym problemem jest też samo zarządzanie tzw. podprocesorami, czyli firmami, które są „podwykonawcami” naszych podwykonawców oraz prowadzenie odpowiednich rejestrów:
- rejestru umów powierzenia,
- rejestru kategorii, kiedy występujemy jako podmiot przetwarzający.
W tym i kolejnych artykułach postaramy się Państwu wyjaśnić jak powinien wyglądać ten proces, zacznijmy jednak od podstaw.
W obszarze powierzenia danych mamy do czynienia z następującymi "osobami":
- Administrator, czyli jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
- Podmiot przetwarzający tzw. procesor danych- oznaczający osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
- Podprocesor – czyli podmiot, który przetwarza dane na polecenia podmiotu przetwarzającego – procesora.
Dla przykładu:
Firma X (administrator)
przekazuje dane do zewnętrznego biura księgowego (procesora),
który korzysta z oprogramowania znajdującego się w centrum danych (podprocesor).
W związku z taką wymianą danych na każdym z podmiotów ciążą pewne obowiązki wynikające z RODO. Wszystkie zostały dokładnie opisane w art. 28 RODO i omówimy je w kolejnych artykułach, dziś zajmiemy się podstawami.
- Każdy Administrator musi wybrać bezpieczny podmiot przetwarzający, prowadzić rejestr umów powierzenia i każdorazowo wyrazić zgodę na podpowierzenie danych do podprocesora lub mieć możliwość wniesienia sprzeciwu, wobec wykorzystywanych przez procesora – podprocesorów ( nie mówimy tu o urządzeniach zapewniających sprawność komputera 😊 ).
- Procesor musi prowadzić rejestr kategorii i wybrać bezpiecznego podprocesora oraz powiadomić Administratora o podmiotach przetwarzających, z których korzysta.
- Podprocesor musi prowadzić rejestr kategorii i informować powyższych o wykorzystywanych podprocesorach, jeśli sytuacja ma miejsce.
Każdy z występujących powyżej podmiotów musi oczywiście wdrożyć odpowiednie środki techniczne i organizacyjne zgodne z art. 32 RODO.
Jak widzimy łańcuszek jest całkiem długi, a obowiązkiem Administratora, czyli naszej Firmy X jest dbanie o cały ten proces.
Poniżej wymieniamy wskazane przez Urząd najczęstsze procesy, w których dochodzi do powierzenia danych:
1) przechowywanie danych klienta (administratora) rozumiane jako udostępnienie zamawiającemu określonej przestrzeni dyskowej w infrastrukturze przetwarzającego na przechowywanie danych, którymi zlecający (administrator) sam zarządza i decyduje o tym, jakie dane tam przechowuje – np. wykonuje kopie zapasowe danych elektronicznych;
2) udostępnianie klientowi (administratorowi) mocy obliczeniowej procesorów, przestrzeni pamięci operacyjnej i dyskowej lub innych usług na potrzeby instalacji i eksploatacji usług przetwarzania, którymi zamawiający w pełni zarządza – dostarczanie infrastruktury informatycznej;
3) udostępnienie klientowi (administratorowi) określonej platformy programistycznej (np. serwera www wraz z odpowiednim oprogramowaniem do prowadzenia własnej strony internetowej);
4) wykonywanie na zamówienie klienta (zamawiającego) określonych usługi w zakresie konfiguracji sprzętowej, programowej, w tym zabezpieczeń udostępnionych mu serwerów, innych urządzeń komputerowych oraz oprogramowania – usługi administracyjne i konserwacyjne;
5) wykonywanie na zamówienie klienta (zamawiającego) usług programistycznych, w tym aktualizacji oprogramowania na okoliczność zmieniających się przepisów prawnych lub wymagań klienta – usługi programistyczne itp.
6) samo przechowywanie dokumentacji podatkowej, księgowej, kadrowej i medycznej;
7) prowadzenie dokumentacji podatkowej, księgowej, kadrowej;
8) archiwizacja danych elektronicznych;
9) skanowanie i digitalizacja danych;
10) niszczenie nośników informacji.
W tym miejscu chcemy podkreślić cytując Prezesa UODO, że
Konieczność zawarcia umowy powierzenia przetwarzania danych osobowych istnieje wówczas, gdy administrator w celu realizacji swoich celów (zadań) związanych z przetwarzaniem danych posługuje się innym, zewnętrznym podmiotem. Innymi słowy powierzenie przetwarzania powinno mieć miejsce w przypadkach, gdy administrator prowadzący działalność w określonej dziedzinie, ma potrzebę skorzystać z pomocy zewnętrznych specjalistów, których usługi będą miały charakter pomocniczy, nierzadko techniczny, wspierający działalność główną administratora.
Powierzeniem powinniśmy więc nazywać obszar, w którym proces odbywający się w naszej firmie, w celu wykonania naszych celów (zadań) outsourcujemy na zewnątrz.
Proszę pamiętać, również, że w organizacjach często dochodzi do tzw. udostępnienia danych.
Ma ono miejsce, kiedy przekazujemy dane do drugiego Administratora, ponieważ:
- jest to wymuszone przepisami prawa (przekazanie danych do ZUS, Komornika, Urzędu Skarbowego),
- Kiedy jest to możliwe na podstawie prawa – np. przekazanie danych do ubezpieczyciela grupowego – jednak nie jest to wymuszony,
- Kiedy przekazujemy dane na podstawie zgody pracownika - np. do Benefit Systems, Kliniki medycznej lub podobnych.
W dzisiejszym artykule to wszystko. Mamy nadzieję, że nakreśliliśmy Państwu, czym jest proces powierzenia, a czym nie jest.
W kolejnym artykule przyjrzymy się informacjom, które w swoich wyjaśnieniach przekazał Prezes Urzędu Ochrony Danych Osobowych, pokazując też w pewnym stopniu swoją interpretację samego procesu powierzania danych.
Pozdrawiamy, Zespół rodo.pl
Źródła: