Poznaj 8 obowiązków podmiotu przetwarzającego dane osobowe i zawrzyj je w umowie

Legalizacja takiego modelu przechowywania danych nie jest trudna i sprowadza się przede wszystkim do zawarcia odpowiedniej umowy powierzenia przetwarzania danych osobowych, która spełnia wymogi określone w art. 31 ustawy o ochronie danych osobowych. Warto jednak pamiętać, że 25 maja 2018 r. wchodzą w życie nowe europejskie przepisy o ochronie danych osobowych (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE). Będą one bezpośrednio stosowane przez kraje członkowskie Unii Europejskiej, a więc także Polskę. Czy przepisy te inaczej regulują wymogi dotyczące wykorzystywania podwykonawców w procesie przetwarzania danych osobowych?

Zyskaj darmowy dostęp do portalu serwiszoz.pl. Gwarantujemy, że znajdziesz na nim odpowiedzi na nurtujące Cię pytania! Nic za to nie zapłacisz. Zarejestruj się. To zajmie tylko 15 sekund!>>

Warto zwrócić uwagę na różnice między obecnie obowiązującymi przepisami a przepisami rozporządzenia. Instytucję powierzenia przetwarzania danych osobowych reguluje art. 28 rozporządzenia. Zgodnie z jego treścią, umowa powierzenia przetwarzania danych osobowych powinna określać, że procesor (podmiot przetwarzający):

1. Przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora.

2. Zapewnia, aby osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy – jest to o tyle istotne ponieważ, w branży medycznej podwykonawcy mogą uzyskiwać dostęp do informacji objętych tajemnicą lekarską.

3. Podejmuje wszelkie niezbędne środki dla ochrony danych.

4. Przestrzega warunków korzystania z usług innego podmiotu przetwarzającego.

5. Biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi przez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw.

6. Uwzględniając charakter przetwarzania oraz dostępne mu informacji, pomaga administratorowi wywiązać się z określonych w rozporządzeniu obowiązków.

7. Po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.

8. Udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 rozporządzenia oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzenie audytów, w tym inspekcji, i przyczynia się do nich.  

Wynika z tego jednoznacznie, że nowe przepisy jeszcze bardziej formalizują stosunek powierzenia przetwarzania danych osobowych i w większym stopniu niż dotychczas chronią interesy administratora danych. Uprawnienia, których zastrzeżenie w treści umowy powierzenia zależało od woli stron, stają się obligatoryjne. Dotyczy to chociażby kwestii związanej z możliwością prowadzenia kontroli oraz udziału podmiotu przetwarzającego w procesie realizacji obowiązków administratora danych a związanych z realizacją praw osób, których dane dotyczą. Termin wejścia w życie rozporządzenia jest coraz bliższy i na pewno dobrą praktyką stało się uwzględnianie w zawieranych umowach powierzenia wymogów dotyczących konstrukcji, które zawierają przepisy rozporządzenia.