Obowiązki procesora i administratora w ramach RODO: ściągawka

Opublikowany: 2021-08-18

Kontynuując naszą serię blogów na temat nadchodzącego ogólnego rozporządzenia o ochronie danych (RODO), poświęcimy kilka minut na opisanie różnych obowiązków, jakie RODO nakłada na administratorów danych i podmioty przetwarzające dane , a następnie zostawimy Ci ściągawkę z krótkim punkty działania, które pomogą Ci określić, jakie konkretnie zadania mogą być potrzebne, aby zapewnić zgodność.

Ale najpierw kilka definicji.

RODO definiuje administratora danych w art. 4 ust. 6 jako:

osoba fizyczna lub prawna, organ publiczny, agencja lub inny organ, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych”

Natomiast podmiotem przetwarzającym dane (art. 4 ust. 7) jest:

„osoba fizyczna lub prawna, organ publiczny, agencja lub inny organ przetwarzający dane osobowe w imieniu administratora”

Podam bardziej konkretny przykład: jeśli jesteś sprzedawcą internetowym widżetów, a Jane Doe zapisze się na Twoją listę mailingową z nadzieją, że dowie się więcej o Twoich widżetach (lub może czai się do czasu wyprzedaży), prawdopodobnie zbierz jej adres e-mail — i być może inne dane kontaktowe — kiedy się zarejestruje. Gratulacje! Właśnie stałeś się administratorem danych osobowych Jane Doe. Zgodziła się na otrzymywanie od Ciebie wiadomości marketingowych, a Ty jako administrator danych możesz określić, kiedy i jak wysyłać te e-maile.

Teraz powiedzmy, że nie wysyłasz własnych e-maili marketingowych, być może zatrudniasz dostawcę usług e-mail (ESP), który pomoże Ci w tworzeniu treści, planowaniu e-maili oraz śledzeniu i raportowaniu dostawy. ESP nie miałby prawa do robienia wszystkiego, co chciałby z danymi Jane, byłby tylko uprawniony do pomocy w tworzeniu kampanii, wysyłania e-maili itp. na Twoją prośbę. W tym przypadku ESP jest podmiotem przetwarzającym dane.

Po drodze decydujesz się na działania marketingowe pod wspólną marką ze swoim bliskim Partnerem A (co w tym przypadku jest w porządku, ponieważ kiedy Jane się zarejestrowała, uzyskałeś jej zgodę na udostępnienie jej danych Partnerowi A w tym celu). W trakcie procesu negocjacji zdecydowałeś, że do wysłania kampanii użyjesz ESP partnera A, a nie swojego. Więc wysyłasz swoją listę subskrybentów (w tym dane Jane) do swojego partnera, który przesyła ją do swojego ESP. E-maile zostaną wysłane.

Udostępniając dane Jane Partnerowi A w celu prowadzenia wspólnych działań marketingowych, uczyniłeś Partnera A współadministratorem danych Jane. Partner A będzie nadal wykorzystywać dane Jane poza zakresem Twojej relacji z Jane. ESP Partnera A nadal jest podmiotem przetwarzającym dane i będzie musiał przestrzegać wymagań zarówno Twoich, jak i Partnera A, ale właśnie wprowadziłeś pewne zawiłości w swojej relacji z Jane, które RODO będzie wymagało od Ciebie śledzenia.

Zgodnie z RODO, jako właścicielom swoich danych, osoby, których dane dotyczą, mają przyznane prawa, takie jak: (Pamiętaj, że nie jest to pełna lista).

  • Artykuł 15 (prawo dostępu): Jane może napisać do Ciebie i poprosić o kopię danych osobowych, które od niej zebrałeś. Państwo, jako administrator danych, byliby zobowiązani do spełnienia tego żądania w ciągu 30 dni od otrzymania jej żądania;
  • Artykuł 16 (prawo do sprostowania): jeśli Jane uzna, że ​​dane, które masz na jej temat, są niedokładne lub niekompletne, może poprosić Cię o ich zaktualizowanie (np. zmianę adresu e-mail lub zmianę pisowni jej nazwiska w Twojej bazie danych);
  • Artykuł 17 (prawo do usunięcia): Jane może poprosić Cię o całkowite usunięcie swoich danych. Może wycofuje zgodę na otrzymywanie od Ciebie wiadomości w przyszłości, a może uważa, że ​​kampanie, na które kierujesz, zmierzają w złym kierunku i chce zacząć od zera;
  • Artykuł 18 (prawo do ograniczenia przetwarzania): Być może zacząłeś śledzić otwarcia i kliknięcia Jane (śledzenie oparte na zachowaniu), ale Jane uważa, że ​​nie wyraziła na to zgody (zgodnie z RODO śledzenie oparte na zachowaniu będzie wymagać zgody. Nie możesz po prostu zakładać, że możesz to zrobić). Jane może poprosić Cię o zaprzestanie śledzenia jej otwarć i kliknięć, dopóki nie ustalicie, na co rzeczywiście się zgodziła;
  • Artykuł 20 (prawo do przenoszenia danych): W niektórych przypadkach Jane ma prawo poprosić Cię o spakowanie swoich danych i przeniesienie ich do jednego z Twoich konkurentów. (Tak! Naprawdę. Ma to na celu pomóc Jane przenieść jej dane – na przykład – od jednego operatora telefonii komórkowej do drugiego lub łatwo przenieść jej obecność w mediach społecznościowych z jednej aplikacji do drugiej. Jeśli przetwarzasz jej dane poprzez „wydajność umowy” lub „na podstawie zgody”, to postanowienie może mieć zastosowanie do Ciebie.

Jeśli Jane zdecyduje się skorzystać ze swoich praw i poprosi o usunięcie jej danych, w paradygmacie jednego administratora-podmiotu przetwarzającego, jest to dość proste. Usuwasz jej dane ze swojego systemu i prosisz swojego procesora (twojego ESP) o usunięcie ich również ze swojego systemu.

Jednak w modelu współadministratora, zgodnie z art. 17 ust. 2, musisz nie tylko usunąć go z infrastruktury swojej i przetwarzającej, ale także:

„podjąć uzasadnione kroki, w tym środki techniczne, w celu poinformowania administratorów przetwarzających dane osobowe, że osoba, której dane dotyczą, zażądała ich usunięcia”

Innymi słowy, musisz prowadzić bardzo dokładne zapisy tego, dokąd wysłałeś dane Jane, i w imieniu Jane składać wnioski o usunięcie danych do innych współadministratorów, którzy mogą mieć jej dane. Współadministratorzy będą musieli również skontaktować się z dowolnymi procesorami, z których korzystają, a także usunąć dane Jane z tych systemów.

A to dopiero początek Twoich obowiązków jako przetwarzających dane i administratorów informacji Jane. Poniżej znajduje się krótka lista tego, co będzie wymagane na mocy RODO, wraz z miejscem, w którym można znaleźć więcej szczegółów w RODO.

Ochrona danych
 Obowiązki administratora:Wdrożyć odpowiednie środki techniczne i organizacyjne w celu ochrony bezpieczeństwa danych.

  • Szyfrowanie, pseudonimizacja danych w razie potrzeby
  • Zdolność do zapewnienia poufności, integralności i odporności danych
  • Proces regularnego testowania, oceny i oceny bezpieczeństwa
  • Dokumentuj swoje wysiłki.

Obowiązki procesora:Wdrożyć odpowiednie środki techniczne i organizacyjne w celu ochrony bezpieczeństwa danych.

  • Szyfrowanie, pseudonimizacja danych w razie potrzeby
  • Zdolność do zapewnienia poufności, integralności i odporności danych
  • Proces regularnego testowania, oceny i oceny bezpieczeństwa
  • Dokumentuj swoje wysiłki.

Artykuł RODO:Sztuka. 32 Bezpieczeństwo przetwarzania

Powiadomienie o naruszeniu
 Obowiązki administratora:

  • Poinformuj organ nadzorczy w ciągu 72 godzin od naruszenia, jeśli istnieje wysokie ryzyko dla osób, których dane dotyczą
  • Powiadomienie o osobie, której dane dotyczą, w stosownych przypadkach

Obowiązki procesora:

  • Poinformuj kontrolera bez zbędnej zwłoki po otrzymaniu informacji o naruszeniu

Artykuły RODO:Sztuka. 33 Powiadomienie o naruszeniu danych
Sztuka. 34 Powiadomienie o naruszeniu danych osobie, której dane dotyczą

Zasady przetwarzania danych
 Obowiązki administratora:

  • Upewnij się, że dane są przetwarzane zgodnie z prawem i w sposób przejrzysty dla osoby, której dane dotyczą
  • Upewnij się, że dane są zbierane i przetwarzane w określonych celach i nie są niezgodne z pierwotnymi celami.
  • Upewnij się, że zbierane dane są dokładne i aktualne
  • Upewnij się, że jesteś w stanie wykazać zgodność

Artykuły RODO:Sztuka. 5 Zasady dotyczące przetwarzania danych osobowych
Sztuka. 6 Zgodność z prawem przetwarzania

Informacja o prywatności
 Obowiązki administratora:

  • Musi być dostępna dla osoby, której dane dotyczą.
  • Opisz, jakie dane będą gromadzone i w jakim celu.
  • Podaj wszystkich odbiorców, którzy otrzymają dane, w tym, czy zostaną przekazane poza EOG oraz w jaki sposób dane będą chronione przy dalszym przekazywaniu.
  • Jeśli istnieją uzasadnione interesy w gromadzeniu i/lub przetwarzaniu danych.
  • Opisz okresy przechowywania i/lub przechowywania danych lub kryteria stosowane do określenia okresów przechowywania.
  • Proszę opisać prawa osoby, której dane dotyczą, oraz sposób, w jaki osoba, której dane dotyczą, może skorzystać ze swoich praw.
  • Szczegóły dotyczące wszelkich zastosowań automatycznego podejmowania decyzji.

Artykuły RODO:Sztuka. 12 Przejrzyste informacje, komunikacja i sposoby korzystania z praw osoby, której dane dotyczą
Sztuka. 13 Informacje, które należy podać w przypadku zbierania danych osobowych od osoby, której dane dotyczą
Sztuka. 14 Informacje, które należy podać w przypadku, gdy dane osobowe nie zostały uzyskane od osoby, której dane dotyczą

Wymagania umowne z podmiotem przetwarzającym
 Obowiązki administratora:

  • Zatrudniaj tylko podmioty przetwarzające, które spełniają przepisy RODO.
  • Zatrudniaj wyłącznie podmioty przetwarzające, które mogą odpowiednio chronić dane osób, których dane dotyczą.
  • Proszę opisać przedmiot, czas trwania i charakter czynności przetwarzania.
  • Opisz charakter i cel przetwarzania.
  • Opisz rodzaje przetwarzanych danych osobowych.
  • Opisać kategorie osób, których dane dotyczą, które są przetwarzane.

Obowiązki procesora:

  • Przetwarzaj dane tylko na udokumentowane polecenia administratora
  • Upewnij się, że wszystkie osoby upoważnione do przetwarzania danych zobowiązały się do podpisania umów o zachowaniu poufności
  • Pomoc administratorowi w obsłudze wniosków o prawa dostępu osób, których dane dotyczą
  • Pomoc administratorowi w wypełnianiu obowiązków związanych z bezpieczeństwem i żądaniami organów nadzorczych.
  • Być dostępnym i być w stanie pomóc administratorowi w wypełnianiu obowiązków w zakresie zgodności
  • Usuń lub zwróć wszystkie dane na żądanie lub żądanie administratora
  • Nakreśl wszelkie transfery danych poza EOG i opisz zabezpieczenia, które będą chronić dane
  • Udział w audytach przeprowadzanych przez kontrolera lub inny wymagany organ
  • Upewnij się, że wszelkie zaangażowanie podprzetwarzających spełnia te same obowiązki wymagane przez administratora.
  • Zaangażuj podwykonawców przetwarzania wyłącznie po zatwierdzeniu przez kontrolera.

Artykuły RODO:Sztuka. 24 Obowiązki kontrolera
Sztuka. 28 procesor
Sztuka. 29 Przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającego

Zastosuj praktyki ochrony danych
 Obowiązki administratora:

  • Być w stanie wykazać, w stosownych przypadkach, zasady minimalizacji danych oraz ochrony danych już w fazie projektowania i/lub domyślnego
  • Przeprowadzaj oceny wpływu na prywatność wszelkich działań związanych z przetwarzaniem, które mogą stanowić zagrożenie dla osoby, której dane dotyczą

Artykuły RODO:Sztuka. 5 Zasady dotyczące przetwarzania danych osobowych
Sztuka. 25 Ochrona danych w fazie projektowania i domyślna
Sztuka. 35 Ocena wpływu na ochronę danych

Zachowaj zapisy czynności przetwarzania
 Obowiązki administratora:

  • Imię i nazwisko/dane kontaktowe administratora danych i inspektora ochrony danych lub przedstawiciela UE
  • Udokumentuj kategorie osób, których dane dotyczą, kategorie danych osobowych i odbiorców danych
  • Udokumentować podstawę prawną wszelkich transferów danych poza EOG i opisać zabezpieczenia, które będą chronić dane
  • Ramy czasowe przechowywania danych
  • Podstawa prawna dokumentów dla czynności przetwarzania danych

Obowiązki procesora:

  • Imię i nazwisko/dane kontaktowe administratora danych i IOD
  • Kategorie przetwarzania realizowanego na rzecz administratora

Artykuł RODO:Sztuka. 30 zapisów czynności przetwarzania

To dużo do zrobienia i może wydawać się dużo pracy. Jednak na dłuższą metę zapewni to, że Ty i Twoi partnerzy będą przestrzegać prawa europejskiego, a prawa osób, których dane dotyczą , będą chronione. Szukasz więcej informacji na temat RODO? Więcej informacji znajdziesz w kategorii RODO na naszym blogu oraz w naszym webinarium na żądanie: Droga do RODO.