GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

CNIL – wytyczne w sprawie podmiotu przetwarzającego według przepisów Rozporządzenia 679/2016 o Ochronie Danych Osobowych (RODO)

flagi francuskie na budynku rządowym CNIL

Krajowa Komisja ds. Informatyki oraz Wolności – CNIL (francuski organ ochrony danych osobowych)

WYTYCZNE W SPRAWIE PODMIOTU PRZETWARZAJĄCEGO WEDŁUG PRZEPISÓW ROZPORZĄDZENIA 679/2016 O OCHRONIE DANYCH OSOBOWYCH (RODO)Wersja wrzesień 2017 – tłumaczenie nieoficjalne

Czy są Państwo podmiotem przetwarzającym w rozumieniu ogólnego rozporządzenia o ochronie danych?
Czy podlegają Państwo europejskiemu rozporządzeniu w sprawie ochrony danych?
Jakie główne zmiany wprowadza rozporządzenie w odniesieniu do podmiotów przetwarzających?
Jakie obowiązki należy wziąć pod uwagę od 25 maja 2018 r.?
Od czego zacząć?
Jakie są moje obowiązki gdy dalej powierzę dane podmiotowi pod-przetwarzającemu?
Czy należy zmienić obowiązujące umowy z klientami?
Jaka jest moja rola w przypadku naruszenia ochrony danych?
Jaka jest moja rola w ramach oceny skutków dla ochrony danych?
Czy mogę skorzystać z mechanizmu kompleksowej współpracy?
Jakie są moje obowiązki jeżeli nie posiadam siedziby w UE?
Jakie jest ryzyko nieprzestrzegania przeze mnie moich obowiązków?
Przykład klauzul umownych dotyczących powierzenia przetwarzania

Czy są Państwo podmiotem przetwarzającym w rozumieniu ogólnego rozporządzenia o ochronie danych?

Są Państwo podmiotem przetwarzającym jeżeli przetwarzają dane osobowe w imieniu, zgodnie z instrukcjami oraz pod nadzorem administratora danych. Dla przypomnienia administrator danych to podmiot, który ustala cele i sposoby przetwarzania (artykuł 4 Rozporządzenia – definicje). Bardzo dużo różnych dostawców usług jest podmiotem przetwarzającym w sensie prawnym tego pojęcia. Czynności podmiotów przetwarzających mogą dotyczyć precyzyjnie określonych obszarów (przetwarzania w związku z wysyłaniem poczty) lub być bardziej ogólne oraz posiadać szerszy zakres (zarządzanie usługami w imieniu innej organizacji, takimi jak na przykład wypłata wynagrodzeń lub   reprezentacja).

Rozporządzenie dotyczy w szczególności:

Do zapamiętania:

Akty prawne:Artykuł 4 rozporządzenia w odniesieniu do definicji administratora danych oraz podmiotu przetwarzającego.Artykuł 28 punkt 10 rozporządzenia odnośnie pojęcia administratora danych.

Czy podlegają Państwo europejskiemu rozporządzeniu w sprawie ochrony danych?

Podlegają Państwo rozporządzeniu europejskiemu w odniesieniu do powierzenia przetwarzania danych, jeżeli:

Akty prawne:Art. 3 rozporządzenia dotyczący terytorialnego zakresu stosowania.

Jakie główne zmiany wprowadza rozporządzenie w odniesieniu do podmiotów przetwarzających?

Obecnie:
Obowiązki ustanowione prawem informacyjnym oraz dotyczącym wolności są nałożone jedynie na administratora danych. W konsekwencji, w przypadku skorzystania z powierzenia przetwarzania:

Od 25 maja 2018 r.:
Rozporządzenie ustanawia zasadę odpowiedzialności wszystkich podmiotów zaangażowanych w przetwarzanie danych osobowych, jeżeli dotyczy ono obywateli europejskich, niezależnie od tego czy podmioty te posiadają siedzibę w Unii czy nie.

Nakłada ono również szczególne obowiązki na podmioty przetwarzające, które muszą pomagać administratorom danych w ich ciągłym wysiłku zapewniania, że operacje przetwarzania pozostają w zgodności z prawem.
Akty prawne: Artykuł 28, 30 punkt 2 oraz 37 rozporządzenia odnośnie obowiązków podmiotu przetwarzającego.

Jakie obowiązki należy wziąć pod uwagę od 25 maja 2018 r.?

Jeżeli działając jako podmiot przetwarzający oferują Państwo usługi przetwarzania danych osobowych, muszą Państwo zaoferować swojemu klientowi: „wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą  (artykuł 28 rozporządzenia)”. Powinni zatem Państwo  pomagać oraz doradzać swojemu klientowi w odniesieniu do zapewniania przez niego zgodności z niektórymi obowiązkami ustanowionymi w rozporządzeniu (ocena wpływu, zgłaszanie naruszeń, bezpieczeństwo, niszczenie danych, wkład do audytów).

Bardziej szczegółowo, obejmuje to:

1. Obowiązek przejrzystości oraz identyfikowalności

Muszą Państwo:

2. Uwzględnienie zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych
Muszą Państwo zaoferować swoim klientom odpowiednie gwarancje odnośnie tego, że przetwarzanie, którego dokonują Państwo w ich imieniu odpowiada wymogom rozporządzenia oraz chroni prawa osób, których dane dotyczą.

Oznacza to w szczególności, że:

Zasady te mogą na przykład obejmować:

3. Obowiązek zapewnienia bezpieczeństwa przetwarzanych danych

4. Obowiązek udzielania pomocy, ostrzegania oraz doradzania

Od czego zacząć?

1. Proszę sprawdzić czy muszą Państwo wyznaczyć inspektora ochrony danych
Zadaniem inspektora ochrony danych jest kierowanie zapewnianiem zgodności z rozporządzeniem w podmiocie, który go wyznaczył.W odniesieniu do powierzenia przetwarzania, będą Państwo musieli wyznaczyć w 2018 r. inspektora ochrony danych, jeśli:

Przykłady
Wytyczne przyjęte w dniu 5 kwietnia 2017 r. przez GR29 w sprawie inspektora ochrony danych przedstawiają dwa przykłady obowiązkowego wyznaczenia inspektora ochrony danych:

Przykład nr 1: małe rodzinne przedsiębiorstwo zajmujące się dystrybucją sprzętu AGD w jednym mieście korzysta z usług podmiotu przetwarzającego, którego główna działalność polega na dostarczaniu usług analityki sieciowej oraz pomocy w zakresie ukierunkowanej reklamy oraz marketingu. Działania firmy rodzinnej oraz jej klientów nie generują przetwarzania danych na „dużą skalę”, z uwagi na niewielką liczbę klientów oraz stosunkowo ograniczone działanie. Jednakże działanie podmiotu przetwarzającego, który posiada wielu klientów takich jak to niewielkie przedsiębiorstwo, stanowi przetwarzanie na dużą skalę, mając na uwadze wszystkich klientów naraz. Z tego względu podmiot przetwarzający musi wyznaczyć inspektora ochrony danych zgodnie z art. 37 ust. 1 litera b). Jednocześnie, ww.  firma rodzinna nie musi sama wyznaczać inspektora ochrony danych.

Przykład nr 2: Średniej wielkości przedsiębiorstwo zajmujące się produkcją płytek brukowych powierza przetwarzanie danych medycyny pracy swoich pracowników zewnętrznemu podmiotowi przetwarzającemu, który obsługuje dużą liczbę podobnych klientów. Podmiot przetwarzający musi powołać inspektora ochrony danych zgodnie z art. 37 ust. 1 litera c), ponieważ przetwarzanie ma miejsce na dużą skalę. Jednakże wytwórca płytek niekoniecznie musi wyznaczyć inspektora ochrony danych.
Inspektor ochrony danych wyznaczony przez podmiot przetwarzający również nadzoruje działania wykonywane przez ten podmiot przetwarzający, gdy wykonuje on swoje zadania jako administrator (np. w odniesieniu do zasobów ludzkich, informatyki, logistyki).

Dalsze informacje

Strona dedykowana CNIL Akty prawne Art. 37 rozporządzenia w odniesieniu do obowiązkowego wyznaczenia inspektora ochrony danych przez podmiot przetwarzający.

2. Analiza oraz rewizja Państwa umów

Umowa ta musi określać:

Te przykłady klauzul mogą być zawarte w Państwach umowach.  Muszą być one doprecyzowane oraz zaadaptowane do poszczególnych operacji powierzenia przetwarzania. Należy zaznaczyć, że same w sobie, nie stanowią one umowy dotyczącej powierzenia przetwarzania. Akty prawne Motyw 81 oraz artykuł 28 rozporządzenia dotyczący obowiązków podmiotu przetwarzającego.

3. Opracowanie rejestru operacji przetwarzania
Jako podmiot przetwarzający, będą Państwo musieli prowadzić rejestr kategorii czynności przetwarzania, które wykonują Państwo w imieniu swoich klientów.

Rejestr ten musi być sporządzony na piśmie oraz zawierać:

Uwaga! Są Państwo również administratorem danych w  odniesieniu do swoich własnych danych (na przykład w związku z zarządzaniem pracownikami czy klientami).

Odtąd należy posiadać dwa rejestry: jeden w odniesieniu do danych, których są Państwo administratorem oraz drugi w odniesieniu do danych, które Państwo przetwarzają jako podmiot przetwarzający w imieniu Państwa klientów.

Wzory rejestrów Wzór rejestru został zaproponowany w ramach „etapu 2”, internetowego dokumentu 6 etapów przygotowania do rozporządzenia.

Akty prawne: Artykuł 30.2 rozporządzenia dotyczący prowadzenia rejestru przez podmiot przetwarzający, Artykuł 30.1 rozporządzenia dotyczący prowadzenia rejestru przez administratora danych.

Jakie są moje obowiązki gdy dalej powierzę dane podmiotowi pod-przetwarzającemu?

Jako podmiot przetwarzający nie mogą Państwo dalej powierzyć przetwarzania innemu podmiotowi przetwarzającego przed uprzednim otrzymaniem pisemnej zgody od swojego klienta. Zgoda taka, w zależności od wyboru stron, może przybrać formę:

Podmiot przetwarzający, którego Państwo zatrudniają podlega takim samym obowiązkom jakie zawarto w Państwa umowie z administratorem danych. Należy w szczególności wykazać wystarczające gwarancje odnośnie wdrożenia odpowiednich środków technicznych oraz organizacyjnych, koniecznych aby przetwarzanie pozostawało w zgodności z rozporządzeniem.

Uwaga! Jeżeli zrekrutowany przez Państwa podmiot przetwarzający nie przestrzega swoich obowiązków,  ponoszą Państwo pełną odpowiedzialność wobec administratora za wykonywanie przez podmiot przetwarzający swoich obowiązków.

Akty prawne: Art. 28 punkt 2 oraz 28 punkt 4 rozporządzenia dotyczący zatrudniania podmiotu przetwarzającego przez inny podmiot przetwarzający.

Czy należy zmienić obowiązujące umowy z klientami?

Tak, wszystkie realizowane umowy powierzenia przetwarzania powinny obejmować od 25 maja 2018 r. obowiązkowe klauzule przewidziane rozporządzeniem. W związku z powyższym, zaleca się aby wszystkie podmioty przetwarzające:

Przykłady klauzul Niniejsze wytyczne proponują przykład klauzul dotyczących powierzenia przetwarzania oczekując na przyjęcie standardowych klauzul umownych w rozumieniu art. 28 punkt 8 rozporządzenia.

Te przykłady klauzul mogą być zawarte w  Państwa umowach.  Muszą być one doprecyzowane oraz zaadaptowane do poszczególnych operacji powierzenia przetwarzania. Należy zaznaczyć, że same w sobie, nie stanowią  one umowy dotyczącej powierzenia przetwarzania.

Jaka jest moja rola w przypadku naruszenia ochrony danych?

Naruszenie ochrony danych stanowi naruszenie bezpieczeństwa, prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Muszą Państwo poinformować swojego klienta o wszelkich naruszeniach bezpieczeństwa danych osobowych bez zbędnej zwłoki po powzięciu o nim wiedzy. Na podstawie ww. zgłoszenia Państwa klient, jako administrator danych, powinien zgłosić takie naruszenie bezpieczeństwa ochrony danych odpowiedniemu organowi nadzorczemu zgodnie z art. 33 rozporządzenia  oraz przekazać informacje o takim naruszeniu osobie, której dane dotyczą zgodnie z art. 34 rozporządzenia.

Z zastrzeżeniem konieczności uzyskania zgody Państwa klienta oraz pod warunkiem, że zostanie ona wyraźnie przewidziana w Państwa umowie z klientem, możliwym jest aby administrator wskazał, aby to Państwo w jego imieniu zgłosili naruszenie organowi oraz, o ile ma to zastosowanie, osobom, których dane dotyczą (zobacz: klauzule na końcu niniejszych wytycznych). Akty prawne: Art. 4 ustęp 12, 33 oraz 34 rozporządzenia europejskiego

Jaka jest moja rola w ramach oceny skutków dla ochrony danych?

Państwa klient, jako administrator danych musi przeprowadzać ocenę skutków dla ochrony danych zgodnie z art. 35 rozporządzenia. Jednakże przeprowadzenie takiej analizy nie zwalnia Państwa z odpowiedzialności.

Muszą Państwo wszakże pomóc swojemu klientowi w przeprowadzeniu tej analizy oraz dostarczyć mu wszystkich koniecznych informacji. Pomoc ta musi być przewidziana w umowie z Państwa klientem. Akty prawne Art. 28 ustęp 3 litera f) rozporządzenia europejskiego oraz Wytyczne GR29 dotyczące oceny skutków (strona 13)

Czy mogę skorzystać z mechanizmu kompleksowej współpracy?

Jeżeli posiadają Państwo siedzibę w większej liczbie państw UE, mogą Państwo korzystać z mechanizmu kompleksowej współpracy. Mechanizm ten pozwala organizacjom, które dokonują transgranicznych operacji przetwarzania danych (zlokalizowanych w kilku państwach członkowskich UE lub wpływających na osoby w kilku państwach członkowskich) na prowadzenie dialogu z jednym krajowym organem nadzorczym, który podejmuje decyzje mające zastosowanie do wszystkich państw członkowskich, których dotyczy to przetwarzanie. Organ ten jest nazywany organem wiodącym. Organem wiodącym w odniesieniu do Państwa będzie organ znajdujący się w kraju Państwa głównej siedziby, to znaczy w tym kraju UE gdzie znajduje się Państwa centrala. Jeżeli nie dysponują Państwo centralą na terytorium UE, w miejscu w którym odbywają się główne czynności przetwarzania w Unii.

Akty prawne: Art. 4 punkt 16, 56 oraz motyw 36 rozporządzenia oraz wytyczne GR29 w sprawie wyznaczenia organu wiodącego (strona 9).

Jakie są moje obowiązki jeżeli nie posiadam siedziby w UE?

Jeżeli nie posiadają Państwo siedziby na terytorium UE podlegają Państwo przepisom rozporządzenia jeżeli:

Akty prawne: Artykuł 3 oraz 27 rozporządzenia

Jakie jest ryzyko nieprzestrzegania przeze mnie moich obowiązków?

Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, może otrzymać pełne odszkodowanie za poniesioną szkodę od administratora danych lub podmiotu przetwarzającego.

Mogą być więc Państwo pociągnięci do odpowiedzialności za wyrządzoną szkodę oraz stać się przedmiotem wysokich sankcji administracyjnych mogących wynieść, w zależności od rodzaju naruszenia, aż do 10 lub 20 milionów euro albo, w przypadku przedsiębiorstw, do 2% albo 4% rocznego światowego obrotu, przy czym zastosowanie miałaby kwota wyższa. Ww. sankcje mogą mieć zastosowanie np. w następujących przypadkach:

Przepisy prawa : Artykuły 82 oraz 83 rozporządzenia