logo-LexDigital
logo-LexDigital
Inspektor Ochrony Danych RODO

Obowiązki podmiotów przetwarzających i podmiotów dalszego powierzenia - opinia EROD z 7.10.2024

Zespół LexDigital
Zespół LexDigital
14.11.2024
Obowiązki podmiotów przetwarzających i podmiotów dalszego powierzenia - opinia EROD z 7.10.2024

EROD [Europejska Rada Ochrony Danych] przyjęła na początku października opinię w sprawie niektórych obowiązków Administratora danych osobowych wynikających z polegania na podmiotach przetwarzających i podprzetwarzających, czyli wskazówki dla podmiotów, które angażują podwykonawców/usługodawców w swoją działalność.

Tym razem nie mówimy o wytycznych, ale o opinii wydanej w następstwie wniosku złożonego do EROD przez duński organ ochrony danych na podstawie art. 64 ust. 2 RODO, na podstawie którego każdy organ ochrony danych może zwrócić się do Rady o wydanie opinii w sprawach mających ogólne zastosowanie lub wywołujących skutki w więcej niż jednym państwie członkowskim.

Dlaczego ma to znaczenie dla Twojej firmy?

Zatrudniając firmy zewnętrzne do obsługi zadań związanych z danymi osobowymi – takich jak lista płac, marketing lub usługi IT – pozostajesz odpowiedzialny za sposób przetwarzania tych danych. Nawet jeśli firmy te korzystają z podwykonawcy, to Twoja firma jest odpowiedzialna za zapewnienie zgodności z RODO.

Obowiązki podmiotów przetwarzających i podmiotów dalszego powierzenia - opinia EROD z 7.10.2024.
Obowiązki podmiotów przetwarzających i podmiotów dalszego powierzenia – opinia EROD z 7.10.2024.


Wspomniana opinia Europejskiej Rady Ochrony Danych wyjaśnia ważne obowiązki podczas pracy z podmiotami przetwarzającymi i podmiotami dalszego przetwarzania (firmami zatrudnionymi przez podmiot przetwarzający do pomocy w zadaniach związanych z danymi).

Dyrektywa NIS 2. Kluczowe branże dotknięte zmianą prawa

Opinia EROD – wnioski

EROD w swojej opinii szczegółowo omawia, w jaki sposób administrator danych powinien zarządzać relacjami z podmiotami przetwarzającymi i podmiotami dalszego przetwarzania. Poniżej podsumowanie tez zawartych w dokumencie.

Wniosek 1. Administrator powinien znać tożsamość wszystkich podmiotów przetwarzających i podmiot dalszego przetwarzania w całym łańcuchu. Powinien mieć dostęp do informacji o nazwie, adresie i osobie kontaktowej każdego z nich, aby zapewnić zgodność z art. 28 RODO.

Wniosek 2. Administrator ma obowiązek zweryfikować, czy podmiot przetwarzający i podmioty dalszego przetwarzania zapewniają wystarczające gwarancje w zakresie ochrony danych. Ta weryfikacja powinna być odpowiednio udokumentowana i różnić się w zależności od ryzyka związanego z przetwarzaniem danych.

Wniosek 3. Administrator nie ma obowiązku systematycznie sprawdzać umów pomiędzy podmiotem przetwarzającym a podmiotem dalszego przetwarzania aby upewnić się, że obowiązki wynikające z RODO zostały przekazane w dół łańcucha przetwarzania, ale w zależności od okoliczności może być to konieczne, aby zapewnić zgodność z zasadą rozliczalności.

Wniosek 4. Administrator musi ocenić i mieć dostęp do odpowiedniej dokumentacji, która zapewnia, że poziom ochrony danych pozostaje zgodny z RODO, nawet podczas przekazywania danych do krajów trzecich.

W pierwszej kolejności, gdy dane osobowe będą przekazywane do państw trzecich w związku z korzystaniem z usług (pod)podmiotów przetwarzających, administrator powinien ocenić i być w stanie przedstawić dokumentację dotyczącą mapowania przekazywania danych. Administrator powinien dopilnować, aby eksporter (który przetwarza dane osobowe w jego imieniu) przeprowadził mapowanie przekazywania, określając, które dane osobowe są przekazywane.

Opinia EROD. Analiza LexDigital.
Opinia EROD. Analiza LexDigital.

Wniosek 5. Zakres obowiązków Administratora w zakresie weryfikacji procesów może się różnić w zależności od tego jakie ryzyko dla praw i wolności osób niosą powierzone czynności przetwarzania. Im wyższe ryzyka tym weryfikacja bardziej szczegółowa a środki bezpieczeństwa bardziej rygorystyczne.

Wniosek 6. Każda taka umowa powinna uwzględniać szczególne obowiązki administratorów i podmiotów przetwarzających. Chociaż art. 28 zawiera listę punktów, które muszą zostać uwzględnione w każdej umowie regulującej stosunki między administratorami i podmiotami przetwarzającymi, pozostawia on miejsce na negocjacje między stronami takich umów. Pole do negocjacji jest ograniczone wymogami określonymi w art. 28(3) RODO. Oznacza to, że klauzula przewidziana w art. 28 ust. 3 lit. a) RODO – „chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający” – jest zalecana, ale nie obowiązkowa. Jej brak nie oznacza automatycznego naruszenia RODO, ale umowa powinna jasno wskazywać, że procesor musi działać zgodnie z prawem UE lub krajowym.

Standardowe klauzule umowne (SCC), a umowa powierzenia przetwarzania danych osobowych

Aby administrator danych osobowych zapewnił zgodność z opinią EROD dotyczącą relacji z procesorami i podprocesorami, w swojej polityce ochrony danych powinien wdrożyć następujące środki organizacyjne i techniczne:

Zastosowanie opinii EROD w praktyce w ramach systemu ochrony danych osobowych

Bądź RODOsmart. Proponuję Ci kilka elementów, które warto uwzględnić na bazie wniosków z opinii EROD.

  1. W procedurze wyboru dostawcy, w aktualnym projekcie karty oceny dostawcy:
    1. Upewnij się, że uwzględniłeś informacje o dostawcy i wskazanych przez niego podwykonawcach w zakresie:
      1. nazwy firmy
      2. adresu siedziby
      3. osoby kontaktowej (imię, nazwisko, stanowisko, dane kontaktowe)
      4. kategorii dostawcy (opis jaki uwzględniasz w obowiązku informacyjnym)
      5. zakresu przetwarzania [przedmiot usługi lub części przedmiotu usługi realizowanego przez ten podmiot].
    2. Upewnij się, że dokonałeś dywersyfikacji oczekiwanych środków organizacyjno-technicznych wobec dostawców w zależności od charakteru przetwarzanych danych oraz poziomu ryzyka.
    3. Upewnij się, że w karcie dostawcy zawarłeś obowiązek zgłoszenia transferu danych poza UE. Dotyczy to zarówno dostawcy, jak i jego podwykonawców. Jeśli taki transfer ma miejsce, a w kraju odbiorcy nie ma decyzji Komisji Europejskiej o odpowiednim poziomie ochrony danych, musisz przeprowadzić ocenę wpływu transferu danych (Transfer Impact Assessment – TIA). Ocena ta powinna być wykonana przed podpisaniem umowy.
    4. Upewnij się, że szablon umowy powierzenia przetwarzania danych jest zgodny z art. 28 RODO. Wprowadź do umowy wszystkie niezbędne zapisy, które muszą być uwzględnione. Zostaw przestrzeń na dodatkowe zapisy, które można negocjować z dostawcą. Nawet jeśli dostawca nie zaakceptuje Twojej wersji umowy, porównaj jego dokument z własnym projektem. Dzięki temu szybko zauważysz brakujące elementy lub te, które są dla Ciebie nie do przyjęcia.

      Jak legalnie przetwarzać dane osobowe? Rozwiewamy wątpliwości

  2. W ramach procesów z obszaru utrzymania ciągłości działania i ciągłej analizy ryzyk dla przetwarzania danych:

Zakazane praktyki w zakresie AI według art. 5 AI Act

Twoja firma jest odpowiedzialna za zapewnienie zgodności z RODO, nawet jeśli korzysta z usług firm zewnętrznych.
Twoja firma jest odpowiedzialna za zapewnienie zgodności z RODO, nawet jeśli korzysta z usług firm zewnętrznych.

EROD – podsumowanie wniosków z nowej opinii

Pamiętaj! Jeśli zatrudniasz dostawców, w tym takich, którzy opierają swoje usługi na łańcuchu podwykonawców, to odpowiedzialność za zgodność z RODO przetwarzania danych nie rozkłada się i nie regresuje a spoczywa na Tobie. 

Aby chronić swoją firmę i dbać o bezpieczeństwo danych osobowych przetwarzanych przez Twoją firmę, wypracuj sprawne mechanizmy działania przy wyborze dostawców. Wykorzystaj wnioski zawarte w opinii EROD, jak i innych wytycznych organów ochrony danych osobowych, co ułatwi ci organizację pracy. Przede wszystkim jednak, skoro korzystasz z profesjonalnego wsparcia w procesach biznesowych, to korzystaj też z profesjonalnego wsparcia organizacji i utrzymania zgodności z RODO Twojej firmy.

źródło: https://www.edpb.europa.eu/our…

Inspektor Ochrony Danych
IOD – kim jest, czym się zajmuje i jak wspiera biznes?

IOD – kim jest, czym się zajmuje i jak wspiera biznes?

Natalia Dzieciuchowicz 14.10.2025
RODO
Nagrywanie pracowników. Czy monitoring z dźwiękiem jest legalny?

Nagrywanie pracowników. Czy monitoring z dźwiękiem jest legalny?

Aleksander Markiewicz 23.11.2024

Umów bezpłatną konsultację

Napisz, w czym możemy ci pomóc, a my skontaktujemy się z Tobą w ciągu 24 godzin.
Kontakt
Pierwszy taki newsletter o ochronie danych i cyberbezpieczeństwie.
Co miesiąc dawka wiedzy od naszych ekspertów.

Administratorem Twoich danych osobowych jest LexDigital spółka z ograniczoną odpowiedzialnością z siedzibą w Poznaniu, ul Grodziska 8, 60-363 Poznań. Dane osobowe przetwarzane będą w celu wysyłania informacji handlowych, w szczególności newslettera. Pełną informację o przetwarzaniu danych osobowych znajdziesz w naszej Polityce prywatności.