Obowiązki podmiotu przetwarzającego processora w RODO
11/08/2017
Jakie wymagania i obowiązki nakłada ogólne rozporządzenie o ochronie danych na podmiot przetwarzający processora.
Podmiot przetwarzający, processor
Podmiot przetwarzający, processor oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych reguluje obowiązki wszystkich takich podmiotów działających w Unii. Podmiot przetwarzający niemający jednostek organizacyjnych w Unii, ale który na terenie Unii oferuje towary, usługi, lub monitoruje zachowania, ma obowiązek wyznaczenia tam swojego przedstawiciela na piśmie. Obowiązek ten nie ma zastosowania w przypadku przetwarzania, które ma charakter sporadyczny, nie obejmuje przetwarzania na dużą skalę szczególnych kategorii danych osobowych, ani przetwarzania danych osobowych dotyczących wyroków skazujących i naruszeń prawa. Musi być przy tym mało prawdopodobne, by ze względu na swój charakter, kontekst, zakres i cele przetwarzanie takie powodowało ryzyko naruszenia praw lub wolności osób fizycznych. Obowiązek ten nie dotyczy organu lub podmiotu publicznego. Przedstawiciel musi zostać upoważniony przez podmiot przetwarzający, w taki sposób, by do celów zapewnienia przestrzegania rozporządzenia mogły się do niego zwracać organy nadzorcze i osoby, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem.
RODO zastrzega, że administrator może skorzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi ogólnego rozporzadzenia o ochronie danych i chroniło prawa osób, których dane dotyczą. Podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający ma obowiązek poinformować administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
Umowa powierzenia przetwarzania danych osobowych
Przetwarzanie przez podmiot przetwarzający odbywać się może na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego. Regulacja taka musi być wiążąca, określać przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Taka umowa lub inny instrument prawny mają regulować w szczególności, że podmiot przetwarzający: a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora. Należy zaznaczyć, że dotyczy to też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny; b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy; c) podejmuje wszelkie środki bezpieczeństwa wymagane na mocy RODO (art. 32); d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego (jak wskazano wyżej); e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw; f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków w zakresie zapewnienia bezpieczeństwa przetwarzania; g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych; h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia ww. obowiązków oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
Oprócz tego podmiot przetwarzający ma za zadanie niezwłocznie informować administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie rozporządzenia RODO lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.
Podwykonawcy podmiotu przetwarzającego
Jeżeli podmiot przetwarzający chce skorzystać z usług podwykonawcy (innego podmiotu przetwarzającego), musi zobowiązać go do przestrzegania tych samych zasad ochrony danych, które wynikają z umowy pomiędzy administratorem a podmiotem przetwarzającym. W szczególności dotyczy to obowiązku zapewnienia wystarczających gwarancji wdrożenia takich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom rozporządzenia. Jeżeli podmiot przetwarzający na podstawie dalszego zlecenia nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora spoczywa na pierwotnym podmiocie przetwarzającym. Wystarczające gwarancje, o których mowa wyżej, podmiot przetwarzający może wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania, lub zatwierdzonego mechanizmu certyfikacji, o których mowa w RODO. Umowa lub inny akt prawny na podstawie którego dochodzi do podpowierzenia, mogą się opierać w całości lub w części na standardowych klauzulach umownych, opracowanych na te potrzeby przez organy na szczeblu europejskim lub przez krajowy organ nadzorczy.
Rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora
Każdy podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego, ma oprócz tego obowiązek prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje: a) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych; b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów; c) gdy ma to zastosowanie –przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w niektórych przypadkach dokumentację odpowiednich zabezpieczeń; d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa. Rejestry takie muszą mieć formę pisemną, w tym formę elektroniczną i być udostępniane na żądanie organu nadzorczego. Powyższe obowiązki nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.
Środki zabezpieczenia danych osobowych
Podmiot przetwarzający ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający aktualnej wiedzy technicznej. Należy przy tym uwzględnić koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a przy tym ryzyko naruszenia praw lub wolności osób fizycznych. Przykładowo wskazuje się tu jako konkretne rozwiązania na pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Wywiązywanie się z powyższego obowiązku, można wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji, o których mowa w RODO.
Oprócz tego RODO nakłada obowiązek podjęcia działań w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora. W innym wypadku jest to dopuszczalne jedynie, jeżeli wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.
Inspektor ochrony danych
Podmiot przetwarzający ma także obowiązek wyznaczenia inspektora ochrony danych, zawsze gdy: a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości; b) główna działalność podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub c) główna działalność podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. Jeżeli podmiot przetwarzający jest organem lub podmiotem publicznym, dla kilku takich organów lub podmiotów można wyznaczyć – z uwzględnieniem ich struktury organizacyjnej i wielkości – jednego inspektora ochrony danych. W innych przypadkach podmiot przetwarzający może, lecz nie musi, wyznaczyć inspektora ochrony danych. Podmiot przetwarzający ma obowiązek opublikować dane kontaktowe inspektora ochrony danych i zawiadomić o nich organ nadzorczy.
Przekazanie danych do państwa trzeciego
Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić tylko, gdy administrator i podmiot przetwarzający spełnią warunki określone RODO. Jednym z warunków jest weryfikacja czy Komisja Europejska uprzednio stwierdziła, że takie państwo trzecie lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Jeżeli tak, to takie przekazanie nie wymaga specjalnego zezwolenia. W razie braku decyzji Komisji, podmiot przetwarzający może przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy we własnym zakresie zapewni odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Przykłady takich zabezpieczeń wymienia RODO w art. 46 ust. 2.
Odpowiedzialność
Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie wtedy, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. Zwolnienie z odpowiedzialności może nastąpić w przypadku udowodnienia, że taki podmiot w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody. Jeżeli podmiot przetwarzający naruszy ogólne rozporządzenie o ochronie danych przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania, z wszelkimi konsekwencjami w zakresie obowiązków i odpowiedzialności. W przypadku stwierdzenia naruszenia ochrony danych osobowych, podmiot przetwarzający powinien bez zbędnej zwłoki zgłosić ten fakt administratorowi.
Jakub Gosz
radca prawny