Z LEXTRA PRZY KAWIE O PRAWIE - Funkcjonowanie RODO w przedsiębiorstwie cz. XII

W ramach dzisiejszego spotkania „Z LEXTRA PRZY KAWIE O PRAWIE”,

FUNKCJONOWANIE RODO cz. XII

kilka słów o tym kto jest podmiotem przetwarzającym, o rejestrze kategorii i umowie powierzenia przetwarzania danych osobowych

 

Kiedy przedsiębiorca jest podmiotem przetwarzającym?

 

Status podmiotu przetwarzającego jest uzależniony od czynności jakie są realizowane w imieniu administratora danych osobowych. Podmiot przetwarzający przetwarza dane osobowe wyłącznie „na zlecenie” administratora i w takim zakresie, w jakim zostało mu to „zlecone”. Przykładowo podmiotem przetwarzającym będzie co do zasady biuro rachunkowe, które prowadzi obsługę kadrowo-płacową, przedsiębiorca IT, który świadczy usługi obsługi informatycznej przedsiębiorcy i ma dostęp do danych osobowych przetwarzanych w systemach informatycznych, agencja reklamowa świadcząca usługi na rzecz klientów administratora danych osobowych, przedsiębiorca zajmujący się archiwizacją dokumentów. W niektórych sytuacjach ocena statusu przedsiębiorcy jako podmiotu przetwarzającego nie jest prosta i zawsze należy wyjść od podstawowej weryfikacji, czy przedsiębiorca decyduje o celach i środkach przetwarzania danych osobowych. Jeżeli nie, a przetwarza dane osobowe na polecenie innego podmiotu, który ma status administratora danych osobowych, to bardzo możliwe, że przedsiębiorca posiada status podmiotu przetwarzającego. Każda sytuacja wymaga jednak przeprowadzenia indywidualnej analizy.

Rejestr kategorii czynności przetwarzania

 

Podmiot przetwarzający zgodnie z art. 30 ust. 2 RODO ma obowiązek prowadzić rejestr wszystkich kategorii czynności przetwarzania, dokonywanych w imieniu administratora danych osobowych. Jest to spis umów powierzenia danych osobowych prowadzony przez podmiot przetwarzający. Rejestr nie musi być prowadzony przez podmioty, które zatrudniają mniej niż 250 pracowników, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych. Rejestr pozwala usystematyzować przetwarzanie danych osobowych w strukturze przedsiębiorstwa, dlatego zalecane jest jego prowadzenie, nawet gdy przedsiębiorca nie ma takiego obowiązku.Prezes Urzędu Ochrony Danych Osobowych opublikował na swojej stronie internetowej przykładowy wzór rejestru. Zachęcamy do jego stosowania.

Umowa powierzenia przetwarzania danych osobowych

 

Podmiot przetwarzający powinien przetwarzać dane osobowe wyłącznie na podstawie umowy lub innego instrumentu prawnego. Ustawodawca określił wprost w art. 28 ust. 3 RODO minimalne postanowienia, które powinny zostać określone przez strony. Przedsiębiorca posiadający status podmiotu przetwarzającego powinien posiadać udokumentowane polecenie, aby wywiązać się z zasady rozliczalności i wykazać, że działa
w imieniu administratora danych osobowych. Umowa powinna regulować istotne kwestie, związane
z przetwarzaniem danych osobowych i być dostosowana do stanu faktycznego.

Kancelaria świadczy pomoc prawną w przygotowaniu projektu umowy powierzenia przetwarzania danych osobowych. Zapraszamy do współpracy!