Muszą się oni przygotować na wprowadzenie przepisów zwiększających zakres ich obowiązków wobec administratorów danych oraz ograniczenia, których do tej pory nie mieli. Z nowymi regulacjami powinny zapoznać się przede wszystkim firmy przetwarzające dane osobowe usługowo, np. działające w obszarze telemarketingu, call centre lub biura księgowe.

Obowiązkowy IOD

Firma zewnętrzna świadcząca usługi na rzecz podmiotu, który musiał wyznaczyć Inspektora ochrony danych (obecnego ABI, którego po 25 maja 2018 r. zastąpi IOD) będzie zobowiązana do wyznaczenia osoby do pełnienia takiej funkcji. Oznacza to, że każdy zleceniobiorca, któremu będą powierzane dane wymagające obligatoryjnego powołania IOD przez ich administratora będzie zobowiązany go powołać. Jest to spowodowane m.in. nowym zakresem obowiązków procesorów oraz obostrzeniami, jakie wprowadza w zakresie przetwarzania danych osobowych unijne rozporządzenie – mówi Konrad Gałaj-Emiliańczyk, ekspert ds. ochrony danych, ODO 24.

Powierzanie przetwarzania

Procesor będzie mógł przetwarzać powierzone dane wyłącznie na udokumentowane polecenie administratora tych danych. Warto dodać, że jeżeli zmieni on np. cel ich przetwarzania to automatycznie stanie się ich administratorem. Oznacza to, że będzie także ponosił za nie pełną odpowiedzialność, niejako w zastępstwie pierwotnego administratora danych.

Zakaz podpowierzania

RODO wprowadza w odniesieniu do zlecania przez procesora przetwarzania danych osobowych innym podmiotom ograniczenie w postaci pisemnej zgody administratora tych danych. Obecnie kwestia ta jest regulowana wyłącznie w treści umowy powierzenia i jest zależna od woli stron umowy powierzenia. Procesorzy nie chcą być ograniczani w tym zakresie, dlatego że sami korzystają z usług podwykonawców, którzy często się zmieniają. To obostrzenie domyślnie ujawni administratorowi danych wszystkie podmioty zewnętrzne, które będą miały faktyczny dostęp do powierzanych danych – wskazuje ekspert ODO 24.

Bezpieczeństwo przede wszystkim

Zapewnienie odpowiedniego poziomu bezpieczeństwa przez podmiot, któremu podpowierzone zostało przetwarzanie danych osobowych jest kolejnym obowiązkiem, który wprowadza RODO. Jeżeli podprocesor nie zapewni odpowiednich zabezpieczeń zgodnych z nowymi przepisami, odpowiedzialność za jego uchybienia poniesie podmiot, który mu podpowierzył dane, a nie sam administrator danych. Obecnie proces ten jest regulowany tylko w treści umów powierzenia przetwarzania danych osobowych.

Zachowanie tajemnicy

Zleceniobiorcy muszą zadbać o to by osoby, które zostały upoważnione do przetwarzania powierzonych danych osobowych zachowały je w tajemnicy. Obecnie jest to regulowane z mocy samej ustawy o ochronie danych osobowych, która bezpośrednio zobowiązuje osoby upoważnione do zachowania danych osobowych w tajemnicy - dodaje Konrad Gałaj-Emiliańczyk.

Wsparcie administratora

Procesorzy, po wejściu w życie nowych regulacji, będą musieli – w miarę możliwości – pomagać administratorom danych wywiązać się z obowiązku odpowiadania na żądania osób, których dane dotyczą. Ponadto będą zobowiązani po zakończeniu przetwarzania powierzonych danych usunąć je lub zwrócić administratorowi danych w zależności od jego woli.
Warto dodać, że procesorzy danych będą zobowiązani do udostępnia administratorom wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w przepisach Rozporządzenia ogólnego UE oraz umożliwienia im lub audytorom upoważnionym przez administratorów przeprowadzania audytów, w tym inspekcji – mówi Gałaj-Emiliańczyk z ODO 24.

Dodatkową zmianą techniczną jest możliwość zawierania umów powierzenia w formie elektronicznej. Do tej pory mogły być one sporządzane wyłącznie na piśmie.