W takich sytuacjach nie da się uniknąć przekazania danych osobowych na zewnątrz, czyli powierzenia ich przetwarzania, zarówno realnie, jak i wirtualnie.
Nowe obowiązki dla procesora
Aktualnie wszelkie umowy ramowe konstruowane są w taki sposób, by przede wszystkim chronić interesy dostawcy usługi, a nie klienta. Podwykonawcy w celu ograniczenia swoich wydatków nierzadko lekceważą istotę tego procesu i nie zapewniają należytej kontroli nad tym kto, kiedy i do czego ma dostęp w trakcie wykonywania zlecenia. Do tej pory umowa z podmiotem przetwarzającym dane osobowe w imieniu administratora musiała być zawierana w formie pisemnej. Niedługo się to zmieni.
Zgodnie z motywem 81 RODO przetwarzanie danych przez procesora powinno być regulowane umową lub innym instrumentem prawnym, który będzie wiązał podmiot przetwarzający i administratora. Określony zostanie wówczas przedmiot, czas trwania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą oraz obowiązki i prawa administratora - mówi adw. Marcin Zadrożny Fundacja Wiedza To bezpieczeństwo.
Unijne rozporządzenie dodatkowo wskazuje, że nie będzie można powierzać dalej przetwarzanych danych osobowych bez zgody ich administratora. W przypadku ogólnej pisemnej zgody firma, której powierzono dane, będzie miała obowiązek poinformować ich właściciela o wszelkich zamierzonych zmianach dotyczących nowych podmiotów.
Podmiot przetwarzający zobowiązany będzie do zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniło wymagania rozporządzenia i chroniło prawa osób, których dane dotyczą. Co istotne, administrator danych będzie mógł korzystać tylko i wyłącznie z takich podmiotów świadczących usługi, które dają takie gwarancje. – mówi adw. Marcin Zadrożny Fundacja Wiedza To bezpieczeństwo.
Kwestia odpowiedzialności
Podczas powierzania danych najistotniejszym aspektem jest ich zabezpieczenie. Odpowiedzialność za nadzór nad podwykonawcami spoczywa przede wszystkim na osobie, która z ich usług korzysta. Czy to w przypadku usługi kadrowo-płacowej, czy powierzania danych w środowisku wirtualnym, np. korzystając z popularnej chmury.
Administratorzy danych mogą oczekiwać od dostawców oprogramowania, żeby ich produkty spełniały wymagania RODO. Całkowitej odpowiedzialności administrator nigdy nie przeniesie na dostawcę technologii, ale wykorzystanie chmury przenosi jej część na dostawcę usługi, a samemu administratorowi w znaczący sposób ułatwia życie. Zamiast śledzenia mechanizmów zabezpieczających, wymaganych przez poszczególne standardy lub regulacje osobno, najlepsza praktyka polega na zidentyfikowaniu całego zbioru mechanizmów i funkcji zabezpieczających zapewniających, spełnienie wymagań prawnych. Dlatego zamiast dokonywania oceny poszczególnych technologii i rozwiązań pod kątem spełnienia wymagań tak kompleksowej regulacji jak RODO, lepszym podejściem może być oparcie się na platformie – na przykład obejmującej Windows, Microsoft SQL Server, SharePoint, Exchange, Office 365, Azure i Dynamics 365 – celem łatwiejszego zapewnienia zgodności nie tylko z RODO, ale również spełnienia innych ważnych wymagań – dodaje Michał Jaworski, Dyrektor ds. Strategii Technologicznej w polskim oddziale Microsoft.
Procesor jak administrator
Rozporządzenie wyraźnie podkreśla, że jeżeli procesor naruszy przepisy RODO przy określaniu celów i sposobu przetwarzania, zostanie potraktowany tak jak ich administrator – podmiot, który przekazał dane. Dlatego wszystkie przedsiębiorstwa powinny dokładnie zinwentaryzować przypadki powierzenia danych i porównać je z nowymi regulacjami wprowadzanymi przez unijne rozporządzenie. Jeżeli okaże się, że umowy nie spełniają wszystkich norm, powinny zostać zaaneksowane.
Udostępnianie danych dotyczy prozaicznych codziennych czynności, jaką jest m.in. korzystanie z usług firm kurierskich, którym przekazujemy dane osobowe – dane, tak naprawdę niezbędne do zawarcia i realizacji umowy przewozu. Przewoźnik , któremu udostępniono dane w celu wykonania przewozu jest ich administratorem – odpowiada za bezpieczeństwo takich danych, sprawuje nad nimi pełną kontrolę, przetwarza je zgodnie z celem w jakim zostały udostępnione. W przypadku DHL Express zgodnie z wymogami ustawy o ochronie danych osobowych i innych aktów wykonawczych stosowane są liczne środki techniczne i organizacyjne mające na celu zapewnienie ochrony udostępnionych danych – wskazuje Piotr Kozak, security manager, DHL Express (Poland) Sp. z o.o., Security Department – International.
Podmioty przetwarzające dane osobowe usługowo, np. biura księgowe czy call center, powinny szczególnie przyłożyć się do analizy nowego prawa, gdyż nakłada na nie sporo nowych obowiązków.