RODO, czyli Rozporządzenie UE o ochronie danych osobowych, które wchodzi w życie 25 maja 2018 roku nakłada na przedsiębiorców i instytucje gromadzące i przetwarzające dane osobowe szereg obowiązków. Odpowiedzialność za zgodne z prawem przetwarzanie danych spoczywa m.in. na ADO, czyli Administratorze Danych Osobowych. Rozporządzenie nie nakłada jednak obowiązku realizowania tych zadań samodzielnie. Dlatego wiele firm decyduje się na skorzystanie z pomocy z zewnątrz. Z usług procesora mogą skorzystać firmy i instytucje, które chcą zlecić zadania związane z ochroną i przetwarzaniem danych osobowych podmiotom zewnętrznym.
Kim jest procesor danych?
Wyjaśnienie pojęcia procesor należy rozpocząć od podkreślenia odrębności tej instytucji od Administratora Danych Osobowych. ADO to organ, jednostka lub osoba (np. pracownik firmy) która podejmuje w przedsiębiorstwie decyzje o celach i środkach przetwarzania danych osobowych. Do zadań ADO należy więc ustalenie celów oraz sposobów przetwarzania danych we własnej firmie czy instytucji.
Procesor to zupełnie odrębna instytucja. Zwany jest on również podmiotem przetwarzającym, ponieważ to właśnie przetwarzanie danych osobowych w imieniu ADO jest jego zadaniem. Oznacza to, że procesor nie jest właścicielem danych otrzymanych od administratora. Co więcej przekazane zostają one w określonym celu i tylko w ten sposób mogą być przetwarzane. Powierzenie danych procesorowi następuje przez zawarcie umowy w formie pisemnej. ADO podpisując umowę z procesorem co prawda traci kontrolę nad tym, co się dzieje z udostępnionymi danymi, ale pozostaje ich właścicielem.
Powierzenie przetwarzania, a udostępnianie danych – różnice
Chcąc zrozumieć jaką funkcję pełni procesor należy zdać sobie sprawę z różnicy w rozumieniu pojęć powierzenia przetwarzania danych osobowych, a ich udostępniania. Najprościej rzecz ujmując powierzenie możemy porównać do wypożyczenia danych. Udostępniając dane idziemy krok dalej – można porównać to do oddania czy odsprzedaży. W tym drugim przypadku ADO traci kontrolę nad danymi – o ich dalszym losie zadecyduje nowy odbiorca.
Nie zapomnij o podpisaniu umowy!
Administrator Danych Osobowych może, zgodnie z nowymi przepisami powierzyć przetwarzanie danych procesorowi. Prawo określiło jednak dokładnie, w jaki sposób ma dojść do tego powierzenia – poprzez zawarcie na piśmie umowy o powierzeniu przetwarzania danych.
Umowa taka musi zawierać szereg postanowień dotyczących sposobu przetwarzania danych. Należą do nich między innymi: zakres i cel przetwarzania, zasady kontroli, warunki dostępu do danych osobowych, możliwość zlecania zadań podwykonawcom itd. Wszystkie wymagania określa art. 31 ustawy.
Inne obowiązki procesora
Oprócz kwestii, o których wspomnieliśmy powyżej procesor ma jeszcze inne obowiązki. Do najważniejszych należy z pewnością konieczność wdrożenia środków zabezpieczających powierzone dane. Chodzi tu o konieczności przygotowania własnej polityki przetwarzania danych przez procesora- i to jeszcze przed rozpoczęciem przetwarzania.
Odpowiedzialność
Ustawa mówi, że za przestrzeganie przepisów i wykonywanie obowiązków procesor ponosi odpowiedzialność na takich samych zasadach jak Administrator Danych Osobowych. To ten podmiot będzie ponosił pełną odpowiedzialność za działania podejmowane przez podwykonawców, którzy przetwarzają dane w dalszej kolejności. Po zawarciu ważnej umowy odpowiedzialność procesora dotyczyć będzie także przetwarzania danych w sposób niezgodny z treścią zawartej umowy.