W poprzednich wpisach z serii wyjaśniliśmy, kim jest administrator i procesor oraz jakie obowiązki spoczywają na administratorze. Teraz czas przyjrzeć się bliżej drugiej stronie tej relacji – procesorowi danych osobowych.
Procesor nie decyduje o celach przetwarzania – działa zawsze w imieniu i na polecenie administratora. Jednak zgodnie z art. 28 RODO, również on ma swoje ściśle określone obowiązki.
1. Przetwarzanie wyłącznie na udokumentowane polecenie administratora
Procesor nie może samodzielnie podejmować decyzji o tym, jak wykorzysta dane. Wszystko musi odbywać się zgodnie z pisemnymi instrukcjami administratora.
👉 Przykład:
Dostawca usług IT nie może sam uznać, że dane klientów administratora posłużą mu do testowania nowych rozwiązań – potrzebuje na to zgody i wyraźnych wytycznych.
2. Zapewnienie poufności
Procesor musi zagwarantować, że wszystkie osoby upoważnione do przetwarzania danych zachowają poufność.
To oznacza m.in.:
- odpowiednie umowy o zachowaniu tajemnicy z pracownikami,
- szkolenia z ochrony danych,
- ograniczanie dostępu tylko do osób, które faktycznie muszą mieć styczność z danymi.
3. Wdrożenie odpowiednich środków bezpieczeństwa
Procesor odpowiada za zastosowanie środków technicznych i organizacyjnych, które chronią dane osobowe. Mogą to być:
- szyfrowanie i pseudonimizacja danych,
- systemy kontroli dostępu,
- regularne testy bezpieczeństwa,
- procedury reagowania na incydenty.
To kluczowy punkt – administrator wybierając procesora musi mieć pewność, że ten spełnia standardy bezpieczeństwa.
4. Wsparcie administratora w realizacji praw osób, których dane dotyczą
RODO przyznaje osobom fizycznym wiele praw (np. prawo do dostępu do danych, sprostowania, usunięcia). Procesor ma obowiązek pomagać administratorowi w realizacji tych praw – oczywiście w zakresie, w jakim to możliwe.
👉 Przykład:
Jeśli klient poprosi o usunięcie swojego konta, procesor (np. dostawca chmury) musi umożliwić administratorowi wykonanie tej operacji.
5. Postępowanie z danymi po zakończeniu współpracy
Art. 28 RODO mówi jasno: po zakończeniu świadczenia usług procesor musi usunąć lub zwrócić wszystkie dane administratorowi – chyba że prawo wymaga ich dalszego przechowywania.
6. Umożliwienie audytów i kontroli
Procesor musi umożliwić administratorowi (lub audytorowi z jego upoważnienia) przeprowadzanie kontroli i audytów w zakresie zgodności z RODO.
To oznacza, że powinien być gotowy udostępnić dokumentację, raporty bezpieczeństwa czy wyniki testów.
Najczęstsze błędy procesorów
❌ traktowanie danych administratora jak własnych,
❌ brak odpowiednich procedur poufności dla pracowników,
❌ nieinformowanie administratora o incydentach bezpieczeństwa,
❌ utrzymywanie danych po zakończeniu współpracy „na wszelki wypadek”.
Podsumowanie
Procesor nie jest tylko „podwykonawcą”. To podmiot, który również ponosi odpowiedzialność za bezpieczeństwo danych i zgodność z RODO. Art. 28 jasno określa, że procesor musi działać przejrzyście, bezpiecznie i zgodnie z instrukcjami administratora.
W praktyce dobra współpraca między administratorem a procesorem opiera się na zaufaniu – ale i na twardych zapisach umowy oraz przestrzeganiu obowiązków.
👉 W kolejnym wpisie z serii „Art. 28 RODO w praktyce” zajmiemy się szczegółowo umową powierzenia przetwarzania danych – co musi zawierać i jakie błędy pojawiają się najczęściej.
Twoje bezpieczeństwo to nasza pasja! 🌐 Jeśli interesuje Cię ochrona danych osobowych, bezpieczeństwo informacji czy cyberbezpieczeństwo, zajrzyj na stronę CAB oraz Platformę Cyberbezpieczeństwa. Szukasz informacji o ochronie sygnalistów? 📢 Sprawdź stronę Kanału Zgłoszeniowego. Czekają tam praktyczne porady i ekspercka wiedza!