Procesor odpowie za dane

08-10-2017, 22:00

Przedsiębiorcy powinni przyjrzeć się umowom zawieranym z firmami wykonującymi dla nich usługi i sprawdzić je pod kątem wymagań RODO.

Unijne rozporządzenie dotyczące ochrony danych osobowych (RODO) określa także zasady postępowania przy przekazywaniu takich informacji podwykonawcom — informatykom,prawnikom, księgowym, obsłudze kadrowej i innym specjalistom.

— Zgodnie z RODO powierzenie danych osobowych firmie zewnętrznej, tzw. procesorowi, powinno być regulowane umową z ich administratorem — lub innym dokumentem prawnym. Określony tam zostanie przedmiot przetwarzania, czas jego trwania, charakter i cel, rodzaj danych i kategorie osób, których one dotyczą, oraz obowiązki i prawa stron umowy — wyjaśnia Marcin Zadrożny, adwokat z Fundacji Wiedza To Bezpieczeństwo (WTB).

Unijne rozporządzenie zastrzega ponadto, że nie będzie można powierzać dalej przekazanych danych osobowych, jeśli administrator się na to nie godzi. W przypadku zawarcia ogólnej pisemnej zgody firma, której powierzono określone zbiory, będzie musiała poinformować ich właściciela o wszelkich planowanych zmianach. — Podmiot przetwarzający musi zapewnić wdrożenie odpowiednich rozwiązań technicznych i organizacyjnych, aby spełnić wymagania rozporządzenia i chronić prawa osób, których dane dotyczą. Ich administrator będzie mógł korzystać wyłącznie z firm świadczących określone usługi, które dają takie gwarancje — zwraca uwagę Marcin Zadrożny.

— Administratorzy danych mogą oczekiwać od dostawców oprogramowania, aby ich produkty spełniały wymagania RODO. Całkowitej odpowiedzialności na pewno na nich nie przeniesie, ale np. wykorzystanie chmury, za co w części odpowie usługodawca technologii, w znaczący sposób ułatwi życie. Zamiast śledzenia mechanizmów zabezpieczających, wymaganych przez poszczególne standardy lub regulacje osobno, najlepszą praktyką będzie zidentyfikowanie całego zbioru mechanizmów i funkcji zabezpieczających zapewniających spełnienie wymagań prawnych — mówi Michał Jaworski, dyrektor ds. strategii technologicznej w polskim oddziale Microsoftu.

Warto wiedzieć, że jeżeli procesor naruszy przepisy RODO, zostanie potraktowany tak jak ich administrator, czyli podmiot, który przekazał dane. Jeżeli obecne umowy ich powierzenia zewnętrznej obsłudze nie spełniają wymagań unijnego rozporządzenia, należy je uzupełnić, np. aneksami. Dotyczy to m.in. wspomnianych biur księgowych, rachunkowych, usług kadrowych, call center czy firm kurierskich.

— Przewoźnik, któremu przekazano dane potrzebne do zrealizowania dostawy, jest ich administratorem. W konsekwencji odpowiada za ich bezpieczeństwo, musi sprawować nad nimi pełną kontrolę, przetwarzać zgodnie z celem, w jakim zostały mu udostępnione — przyznaje Piotr Kozak, menedżer ds. bezpieczeństwa w DHL Express Poland. RODO zacznie obowiązywać w praktyce w maju przyszłego roku.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Polecane

Inspiracje Pulsu Biznesu

Tematy

Puls Biznesu

Puls Firmy / Procesor odpowie za dane