Przetwarzanie danych – poznaj zmiany od 2018 roku

Kategoria: Zarządzanie
Data: 28-02-2017 r.

Outsourcing wybranych obszarów działalności placówki lub gabinetu pozwala na maksymalne dopasowanie świadczonych usług do aktualnych potrzeb. Decydujący jest najczęściej czynnik opłacalności, a czasami możliwość przeniesienia lub podzielenia się ryzykiem i odpowiedzialnością. Zobacz, jak z sukcesem korzystać z tego rozwiązania.

Rozporządzenie ogólne UE o ochronie danych osobowych (dalej RODO), które ma obowiązywać od 25 maja 2018 r., poświęca wiele uwagi tym kwestiom i praktycznie w równym stopniu nakłada dużą odpowiedzialność na administratora i podmiot przetwarzający za zgodne z przepisami przetwarzanie danych osobowych. Również obecne przepisy ustawy o ochronie danych osobowych umożliwiają powierzenie danych do przetwarzania. Procesor odpowiada wtedy za ich bezpieczeństwo na równi z administratorem danych. Administrator danych to organ, jednostka organizacyjna, podmiot lub osoba prowadząca działalność gospodarczą, które to decydują o celach i środkach przetwarzania danych osobowych. W RODO administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Będzie to więc na przykład spółka reprezentowana przez zarząd, szpital czy szkoła reprezentowane przez dyrektora, urząd gminy reprezentowany przez wójta czy osoba prowadząca działalność gospodarczą, w tym lekarz prowadzący prywatną praktykę. Jest to więc podmiot będący swego rodzaju „właścicielem” posiadanych u siebie danych, który decyduje, w jakim celu i przy użyciu jakich środków są one wykorzystywane.

 

Podmiot przetwarzający, inaczej procesor, oznacza natomiast osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Procesor nie jest więc „właścicielem” otrzymanych od administratora w oznaczonym celu danych. Nie może ich wykorzystać do swoich celów. Wykonuje na powierzonych danych jedynie operacje zlecone przez administratora. Jednocześnie zapewnia im dalszą ochronę przewidzianą przepisami.

Niestety często mylone jest pojęcie powierzenia danych z udostępnieniem danych osobowych. Powierzenie to swego rodzaju „wypożyczenie”. Administrator nadal jest „właścicielem” powierzonych danych. Udostępnienie to oddanie, „sprzedaż” danych. Administrator traci kontrolę nad tym, jak z udostępnionymi danymi będzie podstępować ich odbiorca. Tu pojawia się kolejna definicja, tj. odbiorca danych. Rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem osoby, której dane dotyczą, osoby upoważnionej do przetwarzania danych, podmiotu, z którym zawarto umowę powierzenia.

Zgodnie z definicją RODO „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii Europejskiej lub prawem państwa członkowskiego. Nie są jednak uznawane za odbiorców. Przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych, które mają zastosowanie stosownie do celów przetwarzania. Podmiot przetwarzający, procesor nie jest więc odbiorcą danych, tak jak np. ZUS, NFZ, czy urząd skarbowy.

Jak powierzyć dane innemu podmiotowi

Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot przetwarzający jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające powierzone dane oraz mieć własną politykę bezpieczeństwa informacji.

Decydując się na podjęcie współpracy z wybranym usługodawcą starannie i dokładnie sprawdź, czy może on zapewnić działania i ochronę danych na najwyższym poziomie.

Usługodawca powinien być wyspecjalizowany w realizowaniu zadań z dziedziny, którą chcemy mu powierzyć do wykonania, zwłaszcza gdy w grę wchodzi zewnętrzna obsługa informatyczna czy kadrowo-księgowa. W tym wszystkim trzeba dokładnie określić, czy podmiot przetwarzający ma prawo skorzystać przy realizacji zleconej usługi z kolejnych podwykonawców, czyli „podpowierzyć” przetwarzanie danych. Jeśli tak, to na zasadach określonych przez administratora, za wiedzą i zgodą administratora i w zakresie nie większym niż określała pierwotna umowa między administratorem a procesorem. Przetwarzanie danych w imieniu administratora dość szczegółowo opisuje art. 28 RODO.

W rozporządzeniu unijnym pojawia się jeszcze jedno dodatkowe sformułowanie, a mianowicie współadministratorzy. Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków prawnych, szczególnie w stosunku do osób, których dane dotyczą. To jednak kwestia przyszłości.

Piotr Glen, administrator bezpieczeństwa informacji, specjalista ds. ochrony danych osobowych, audytor bezpieczeństwa informacji

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Ochrona danych osobowych w gabinecie lekarskim – przygotuj się do dużych zmian

pobierz

Elektroniczna dokumentacja medyczna

pobierz

Jak zarządzać ryzykiem w ujęciu ISO 9001:2015

pobierz

Jak przygotować raport o sytuacji ekonomiczno-finansowej SPZOZ Nowy obowiązek dla kierownika

pobierz

Polecane artykuły

Array ( [docId] => 40086 )
Array ( [docId] => 40086 )