Centrum Audytu Bezpieczeństwa Sp. z o.o.

+48 881 256 247 | biuro@cab.com.pl
wytyczne EROD

EROD i nowe wytyczne dla podmiotów przetwarzających dane

4.12.2024

wytyczne EROD

Europejska Rada Ochrony Danych (EROD) opublikowała w październiku 2024 r. nowe wytyczne, które wpływają na zasady współpracy między administratorami danych a podmiotami przetwarzającymi. Dokumenty te mają na celu ułatwienie interpretacji przepisów RODO, w szczególności w odniesieniu do relacji umownych, oceny ryzyka oraz wyboru podwykonawców.

Przedstawione opinie stanowią ważny krok w stronę zwiększenia przejrzystości i przewidywalności zasad ochrony danych osobowych w Unii Europejskiej. Zarówno sektor prywatny, jak i instytucje publiczne powinny zapoznać się z nowymi wytycznymi, aby uniknąć potencjalnych sankcji wynikających z niezgodności z przepisami.

Kluczowe zmiany dla podmiotów przetwarzających dane

EROD podkreśla, że administratorzy danych muszą dokładniej kontrolować podmioty przetwarzające, w tym ich zdolność do zapewnienia odpowiedniego poziomu ochrony danych. Podmioty przetwarzające powinny nie tylko przestrzegać umów zawartych z administratorami, ale także wykazywać się proaktywnym podejściem do ochrony danych.

Administratorzy muszą dysponować pełną dokumentacją, która potwierdza zgodność działań podmiotów przetwarzających z wymogami RODO. Szczególnie istotne są dane identyfikacyjne podmiotów przetwarzających, ich lokalizacja oraz poziom ochrony, jaki gwarantują. W przypadku naruszenia zasad ochrony danych, odpowiedzialność spoczywa zarówno na administratorze, jak i podmiocie przetwarzającym, co wynika z art. 28 RODO.

Odpowiedzialność za wybór podwykonawców

W relacjach między podmiotami przetwarzającymi a ich podwykonawcami kluczową rolę odgrywa administrator danych. EROD zwraca uwagę, że administratorzy muszą zapewnić zgodność całego łańcucha przetwarzania z przepisami RODO.

Nie oznacza to jednak konieczności sprawdzania każdej umowy podwykonawstwa. Administrator powinien przeprowadzać ocenę ryzyka i weryfikować jedynie te dokumenty, które mają bezpośredni wpływ na przetwarzanie danych osobowych. W szczególności dotyczy to przypadków transferu danych poza Europejski Obszar Gospodarczy, gdzie niezbędne jest sporządzenie oceny skutków przekazania danych (DPIA).

Przetwarzanie danych na podstawie uzasadnionego interesu

Jednym z istotnych elementów nowych wytycznych EROD jest interpretacja uzasadnionego interesu jako podstawy przetwarzania danych. W art. 6 ust. 1 lit. f RODO wskazano, że przetwarzanie danych jest legalne, jeśli jest niezbędne do realizacji uzasadnionych interesów administratora lub strony trzeciej, o ile interesy te nie naruszają praw i wolności osób, których dane dotyczą.

EROD wskazuje, że administrator musi spełnić trzy podstawowe kryteria, aby uzasadniony interes mógł stanowić podstawę prawną:

  1. Interes musi być legalny i rzeczywisty. Przykładem może być prowadzenie działań marketingowych lub zabezpieczenie systemów IT przed nieautoryzowanym dostępem.
  2. Przetwarzanie musi być niezbędne. Administrator powinien przeanalizować, czy istnieją alternatywne metody osiągnięcia tego samego celu, które mniej ingerują w prywatność osób fizycznych.
  3. Balans interesów. Interes administratora nie może przeważać nad prawami i wolnościami osób, których dane dotyczą. W tym celu należy przeprowadzić analizę wpływu przetwarzania na te osoby.

Proceduralne zmiany w egzekwowaniu przepisów

EROD podkreśla konieczność uproszczenia współpracy między organami ochrony danych osobowych w Unii Europejskiej. Obecne mechanizmy rozwiązywania sporów i koordynacji działań w przypadku naruszeń danych są czasochłonne i mało efektywne.

Nowe przepisy proceduralne mają na celu:

  • Zmniejszenie biurokracji w prostych przypadkach.
  • Usprawnienie wymiany informacji między organami krajowymi.
  • Ułatwienie dostępu do wspólnych akt sprawy dla zainteresowanych stron.

Planowane zmiany obejmują również harmonizację dokumentacji wymaganej przy transgranicznym przetwarzaniu danych. Dzięki temu firmy działające w wielu krajach UE będą miały większą pewność prawną w zakresie ochrony danych.

Co oznaczają te zmiany dla firm?

Nowe wytyczne EROD zmuszają organizacje do ponownego przeanalizowania swoich procesów przetwarzania danych. Szczególną uwagę należy zwrócić na:

  • Relacje z podmiotami przetwarzającymi, w tym ich audyt i ocenę ryzyka.
  • Umowy o podwykonawstwo, zwłaszcza w przypadku międzynarodowego transferu danych.
  • Przetwarzanie danych na podstawie uzasadnionego interesu, które wymaga szczegółowej analizy.

Niedostosowanie się do nowych wytycznych może skutkować poważnymi konsekwencjami, w tym wysokimi karami finansowymi nakładanymi przez krajowe organy ochrony danych.

Jak się przygotować?

W obliczu zmian wprowadzanych przez EROD warto skonsultować swoje procesy z ekspertami w zakresie ochrony danych osobowych. Profesjonalna analiza i dostosowanie procedur do nowych wymagań pozwolą uniknąć ryzyka naruszenia przepisów RODO.

Chcesz dowiedzieć się więcej o tym, jak Twoja firma może skutecznie wdrożyć nowe wytyczne EROD? Skontaktuj się z ekspertami Centrum Audytu Bezpieczeństwa i zabezpiecz swoją organizację przed ryzykiem!

Twoje bezpieczeństwo to nasza pasja! 🌐 Jeśli interesuje Cię ochrona danych osobowych, bezpieczeństwo informacji czy cyberbezpieczeństwa, zajrzyj na stronę CAB oraz Platformę Cyberbezpieczeństwa. Szukasz informacji o ochronie sygnalistów? 📢 Sprawdź stronę Kanału Zgłoszeniowego. Czekają tam praktyczne porady i ekspercka wiedza!

Źródło danych:

EROD przyjmuje opinię w sprawie podmiotów przetwarzających, wytyczne dotyczące uzasadnionego interesu, oświadczenie w sprawie projektu rozporządzenia dotyczącego egzekwowania RODO oraz program prac na lata 2024–2025.

Skip to content