REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Moja firma » Prawo » RODO w firmie » Kontrolowanie podmiotu przetwarzającego jako uprawnienie administratora danych osobowych - RODO 2018

Kontrolowanie podmiotu przetwarzającego jako uprawnienie administratora danych osobowych - RODO 2018

Subskrybuj nas na Youtube
19 lipca 2018, 10:10
Kontrolowanie podmiotu przetwarzającego jako uprawnienie administratora danych osobowych - RODO 2018 /Fot. Fotolia
Kontrolowanie podmiotu przetwarzającego jako uprawnienie administratora danych osobowych - RODO 2018 /Fot. Fotolia
Fotolia

REKLAMA

REKLAMA

Uregulowanie relacji pomiędzy administratorem a podmiotem przetwarzającym dane (popularnym procesorem) współcześnie stało się jedną z podstawowych czynności, które sam administrator musi uwzględnić w systemie ochrony danych w swojej organizacji. Liczne audyty pokazują, że w dzisiejszych czasach, w znacznej mniejszości pozostają podmioty, które z całą odpowiedzialnością mogą stwierdzić, że nie korzystają z usług podmiotów przetwarzających dane na ich zlecenie. W dużej części przypadków administratorzy ci nie są świadomi, że w relacji z kontrahentami dochodzi do powierzenia danych w rozumieniu przepisów o ochronie danych osobowych.

REKLAMA

Autorzy przepisów unijnego rozporządzenia o ochronie danych osobowych (RODO), dostrzegli ten trend, co poskutkowała znacznie bardziej rygorystycznym podejściem do kwestii powierzenia przetwarzania danych osobowych, nakładając na podmioty po obu stronach tej relacji liczne obowiązki, ale również prawa. W niniejszym artykule, skupimy się w szczególności na uprawnieniu administratora do inspekcji podmiotu przetwarzającego.

REKLAMA

Na wstępie tytułem przypomnienia wskażmy kim tak naprawdę jest podmiot przetwarzający (procesor). Zgodnie z definicją zawarta w art. 4 pkt 8 RODO, podmiotem przetwarzającym jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Z przywołanej definicji wynika, że podmiot przetwarzający działa jedynie na zlecenie administratora, który faktycznie decyduje o celach i sposobach przetwarzania danych osobowych. Potwierdza to również art. 29 RODO, wskazujący, iż procesor przetwarza je jedynie wyłącznie na polecenie administratora, z wyjątkiem sytuacji gdy obowiązek przetwarzania wynika z obowiązujących przepisów prawa. Za klasyczne przykłady podmiotów przetwarzających należy uznać: biuro księgowe, zewnętrzny call center, firmy archiwizujące dokumenty, partnerzy świadczący usługi techniczne (np. rozwijanie i utrzymywanie systemów informatycznych i serwisów internetowych), agencje marketingowe, podmioty zewnętrzne odpowiedzialne za prowadzenie spraw kadrowo płacowych.

Całość relacji łączącej administratora z podmiotem przetwarzającym winna być unormowana w ramach umowy powierzenia przetwarzania danych, której to treść została szczegółowo uregulowana w obowiązujących przepisach unijnego rozporządzenia. Kluczowy w tym zakresie jest art. 28 RODO wskazujący jakie dokładnie kwestie winny stanowić przedmiot uzgodnień pomiędzy stronami takiej umowy. Do katalogu wymienionego w przywołanym wchodzi również obowiązek podmiotu przetwarzającego polegający na umożliwieniu administratorowi przeprowadzenia audytu w jego organizacji.

Polecamy: Pakiet żółtych książek - Podatki 2018

REKLAMA

Należy pamiętać, że art. 28 RODO, przewiduje obowiązki również po stronie samego administratora, który to zobowiązany jest do korzystania z jedynie z tego typu podmiotów, które gwarantują wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniających, że przetwarzani spełnia wymogi RODO oraz chroni prawa osób, których dane są przetwarzane. W tym zakresie bez wątpienia pomocne może być uprawnienie administratora do audytu podmiotu przetwarzającego dane w jego imieniu.

Dalszy ciąg materiału pod wideo

Przepisy RODO przewidują po stronie podmiotu przetwarzającego alternatywne działanie pozwalającą na wykazanie stosowania środków gwarantujących bezpieczeństwo danych oraz przestrzegania przepisów unijnego rozporządzenia. Mowa tutaj o branżowych kodeksach postępowania oraz certyfikacji, o których traktują odpowiednio art. 40 oraz 42 RODO. Z całą stanowczością należy stwierdzić, że nawet w przypadku posiadania przez procesora jednego z powyższych dokumentów, nie można wykluczyć aby sprawdzenia (audyty) ze strony administratora nie były potrzebne np. w sytuacji zaistnienia zdarzenia naruszającego ochronę danych osobowych podlegającego obowiązkowemu zgłoszeniu do organu nadzorczego.

Zobacz również:

Jak wynika z powyższego, samo prawo do audytowania podmiotu przetwarzającego nie powinno budzić żadnych wątpliwości. Zastanawiać może jednak zakres przeprowadzanego audytu. Jak już wskazano, podmiot przetwarzający udostępnia administratorowi informacje niezbędne do wykazania spełnienia obowiązków wynikających z przepisu art. 28 ust. 2, 3 oraz 4 RODO. Sprawdzenie może zatem dotyczyć następujących informacji:

  • Czy podmiot przetwarzający korzysta z podwykonawców przetwarzających dane powierzone przez administratora na zasadach określonych pomiędzy stronami oraz zgodne z art. 28 ust. 2 i 4? (w szczególności, czy umowy podpisywane z podwykonawcami w sposób odpowiedni regulują kwestie związane z przetwarzaniem danych administratora)
  • Czy podmiot przetwarzający wdrożył odpowiednie środki techniczne i organizacyjne, które umożliwiają procesorowi wsparcie administratora w odpowiadaniu na żądania osób, których dane dotyczą, w zakresie realizacji ich praw wynikających z RODO?
  • Czy osoby biorące udział przy przetwarzaniu zostały zobowiązane do zachowania tajemnicy?
  • Czy podmiot przetwarzający wdrożył mechanizmy/procedury, umożliwiające bezzwłoczne zgłoszenie naruszenia bezpieczeństwa danych osobowych?
  • Czy dane nie są przekazywane przez podmiot przetwarzający do państw trzecich?

Zobacz: RODO w firmie

Mając na względzie obowiązek administratora wynikający z art. 28 ust. 1 RODO, nie bez znaczenia winny również pozostawać następujące informacje:

  • Czy podmiot przetwarzający stosuje fizyczne zabezpieczenia pomieszczeń/obszarów przetwarzania danych osobowych przed dostępem osób nieuprawnionych?
  • Czy podmiot przetwarzający nadaje upoważnienia do przetwarzania danych osobowych?
  • Czy podmiot przetwarzający prowadzi dokumentacje ochrony danych osobowych?
  • Czy podmiot przetwarzający prowadzi rejestr kategorii czynności przetwarzania?
  • Czy podmiot przetwarzający powołał inspektora ochrony danych?

Należy wskazać, że w ramach kształtowania się praktyki w stosowaniu przepisów RODO, popularne staje się regulowanie w ramach umowy powierzenia uprawnienia po stronie administratora do przeprowadzenia audytu również u podprocesorów. Tendencja do uregulowania tego zagadnienia w ramach umowy wynika prawdopodobnie z treści art. 28 ust. 4 RODO. Zgodnie z nim podmiot przetwarzający może podpowierzyć dane osobowe jedynie na podstawie umowy zawartej ze swoim podwykonawca, której treść zapewniać będzie stosowanie przez podwykonawcę środków gwarantujących przetwarzanie zgodnie z wymogami RODO. W interesie administratora pozostaje zatem zapewnienie sobie możliwości przeprowadzenia audytu u podprocesora, w celu utrzymania pełnej kontroli nad przetwarzanymi przez niego danymi osobowymi.

Kolejnym coraz popularniejszym działaniem w zakresie konstruowania umów powierzenia przetwarzania danych pomiędzy administratorem a podmiotem przetwarzającym, jest wprowadzanie postanowień, mających na celu nic innego jak „zniechęcenie” administratora do skorzystania z jego uprawnień w zakresie audytowania podmiotu przetwarzającego. Przykładem takiego działania jest żądanie stosownej kwoty tytułem opłaty za sam fakt przeprowadzenia sprawdzenia. Podkreślić trzeba, że nie chodzi w tym miejscu o pokrycie kosztów poniesionych przez procesora w zw. z przeprowadzanym audytem (np. udział pracowników procesora w czynnościach audytowych), co można uznać za rozwiązanie dopuszczalne i uzasadnione. Mowa jest w tym miejscu o postanowieniach przewidujących z góry określoną kwotę kilkudziesięciu tysięcy złotych, za sam fakt przeprowadzenia audytu, narzucanych przez organizacje mające silną pozycję na rynku.

Na zakończenie należy również zwrócić uwagę, że istotnym elementem uprawnienia do audytowania podmiotu przetwarzającego jest to, że nie musi być ono wykonane bezpośrednio przez samego administratora lub jego pracownika. W przypadku, w którym administrator nie czuje się na siłach w aspekcie sprawdzenia podmiotu przetwarzającego lub nie dysponuje wystarczającymi zasobami kadrowymi oraz czasowymi do podjęcia takich działań, racjonalnym działaniem jest skorzystanie z wyspecjalizowanego podmiotu zewnętrznego. Z art. 28 ust. 3 lit. h RODO wprost bowiem wynika, że podmiot przetwarzający ma umożliwić audyt administratorowi lub audytorowi upoważnionemu przez administratora. Brak jest zatem przeciwwskazań aby w tym zakresie, administrator mógł skorzystać z podmiotów zewnętrznych specjalizujących się w prowadzeniu działań audytowych.

Autor: Adw. Łukasz Pociecha, ekspert ds. ochrony danych, ODO 24

Powiązane
RODO: Zgłaszanie IOD i odwoływanie ABI od 25 maja 2018 r.
RODO: Zgłaszanie IOD i odwoływanie ABI od 25 maja 2018 r.
RODO 2018: ABI a IOD
RODO 2018: ABI a IOD
Czy firmy są gotowe na RODO 2018?
Czy firmy są gotowe na RODO 2018?
Zapisz się na newsletter
Zakładasz firmę? A może ją rozwijasz? Chcesz jak najbardziej efektywnie prowadzić swój biznes? Z naszym newsletterem będziesz zawsze na bieżąco.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

REKLAMA

Moja firma
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
System kaucyjny od 1 października wchodzi w życie, co dla firm oznacza prawdziwą zmianę paradygmatu w obsłudze klientów
27 sie 2025

Większość Polaków uważa, że system kaucyjny to najlepszy sposób na odzyskiwanie opakowań po napojach – społeczna akceptacja jest ogromna, a oczekiwania klientów rosną. Dla sklepów i producentów to nie tylko obowiązek prawny, ale także nowe wyzwania logistyczne, technologiczne i edukacyjne. Firmy będą musiały nauczyć klientów prostych, ale ważnych zasad – jak prawidłowo zwracać butelki i puszki, by otrzymać kaucję, jak zorganizować punkt zwrotów i jak zintegrować systemy sprzedaży, aby proces był szybki i intuicyjny. To moment, w którym codzienne zakupy przestają być tylko rutyną – stają się gestem odpowiedzialności, a dla firm szansą na budowanie wizerunku nowoczesnego, ekologicznego biznesu, który rozumie potrzeby klientów i dba o środowisko.
Fundacja rodzinna bez napięć - co powinien zawierać dobry statut?
27 sie 2025

Pomimo że fundacja rodzinna jest w polskim prawie stosunkowo nowym rozwiązaniem, to zdążyła już wzbudzić zainteresowanie przedsiębiorców. Nic dziwnego – pozwala bowiem uporządkować proces sukcesji, ochronić majątek przed rozdrobnieniem i stworzyć ramy współpracy między pokoleniami, przekazując jednocześnie wartości i wizję fundatora jego sukcesorom.

Co trzecia polska firma MŚP boi się upadłości. Winne zatory płatnicze
26 sie 2025

Choć inflacja wyhamowała, a gospodarka wysyła sygnały poprawy, małe i średnie firmy wciąż zmagają się z poważnymi problemami. Z najnowszego raportu wynika, że niemal 30% z nich obawia się, iż w ciągu dwóch lat może zniknąć z rynku – głównie przez opóźnione płatności od kontrahentów.
System kaucyjny od 1 października zagrożeniem dla MŚP? Rzecznik apeluje do rządu o zmiany
26 sie 2025

Od 1 października w Polsce ma ruszyć system kaucyjny, jednak przedsiębiorcy alarmują o poważnych problemach organizacyjnych i finansowych. Rzecznik MŚP apeluje do rządu o zmiany, ostrzegając przed chaosem i nierównymi warunkami dla małych sklepów.

REKLAMA

W 2026 r. w radach nadzorczych i zarządach musi być 33-40% kobiet [Dyrektywa Women on Board]
25 sie 2025

W 2026 r. w radach nadzorczych i zarządach musi być odpowiednia reprezentacja płci. W związku z tym, że przeważają mężczyźni, nowe przepisy wprowadzają de facto obowiązek zapewnienia 33-40% kobiet ogólnej liczby osób zasiadających w radach nadzorczych i zarządach przedsiębiorstw. Czy Polskie firmy są na to gotowe? Jak wdrożyć dyrektywę Women on Boards?
Czy finansiści, księgowi i inni profesjonaliści powinni bać się wieku średniego?
22 sie 2025

Wiek średni nie musi oznaczać zawodowego spowolnienia. Czy finansiści, księgowi i inni profesjonaliści powinni bać się wieku średniego? Raport ACCA 2025 pokazuje, że doświadczenie, rozwinięta inteligencja emocjonalna i neuroplastyczność mózgu pozwalają po 40. wzmocnić swoją pozycję na rynku pracy.
Zmiany w amortyzacji aut od 2026 r. – jak nie stracić 20 tys. zł na samochodzie firmowym?
20 sie 2025

Od 1 stycznia 2026 r. nadchodzi rewolucja dla przedsiębiorców. Zmiany w przepisach sprawią, że auta spalinowe staną się znacznie droższe w rozliczeniu podatkowym. Nowe, niższe limity amortyzacji i leasingu mogą uszczuplić kieszeń firmy o nawet 20 tys. zł w ciągu kilku lat. Co zrobić jeszcze w 2025 r., żeby uniknąć dodatkowych kosztów i utrzymać maksymalne odliczenia? Poniżej znajdziesz praktyczny poradnik.
Obcokrajowcy wciąż chętnie zakładają w Polsce małe firmy. Głównie są to Ukraińcy i Białorusini [DANE Z CEIDG]
19 sie 2025

Obcokrajowcy wciąż chętnie zakładają w Polsce małe firmy. Głównie są to Ukraińcy i Białorusini [DANE Z CEIDG]. W pierwszej połowie br. 21,5 tys. wniosków dotyczących założenia jednoosobowej działalności gospodarczej wpłynęło do rejestru CEIDG od osób, które mają obywatelstwo innego państwa. To 14,4% wszystkich zgłoszeń w tym zakresie.

REKLAMA

Hossa na giełdzie w 2025 r. Dlaczego Polacy nie korzystają z tego okresu? Najwięcej zarabiają zagraniczni inwestorzy
18 sie 2025

Na warszawskiej giełdzie trwa hossa. Dlaczego Polacy nie korzystają z tego okresu? Najwięcej zarabiają u nas zagraniczni inwestorzy. Co musi się w Polsce zmienić, aby ludzie zaczęli inwestować na giełdzie?
Umowy PPA w 2025 r. – korzyści i ryzyka dla małych i średnich firm w Polsce
13 sie 2025

Płacisz coraz wyższe rachunki za prąd? Coraz więcej firm w Polsce decyduje się na umowy PPA, czyli długoterminowe kontrakty na energię z OZE, które mogą zagwarantować stałą cenę nawet na 20 lat. To szansa na przewidywalne koszty i lepszy wizerunek, ale też zobowiązanie wymagające spełnienia konkretnych warunków. Sprawdź, czy Twoja firma może na tym skorzystać.

REKLAMA