Obowiązki informacyjne podmiotów przetwarzających wynikające z RODO
Strona ta jest przeznaczona dla podmiotów pełniących względem Uniwersytetu Rolniczego w Krakowie rolę podmiotu przetwarzającego. Stanowi ona wywiązanie się Inspektora Ochrony Danych UR względem tych podmiotów z obowiązku informowania o obowiązkach spoczywających na tych podmiotach wynikających z ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) zwanego dalej RODO, zgodnie z art. 39 RODO.
WYZNACZENIE PRZEDSTAWICIELA (Art. 27 RODO)
Jeżeli podmiot przetwarzający przetwarza dane osób znajdujących się na terenie Unii, a sam nie posiada jednostek organizacyjnych na terenie Unii, podmiot przetwarzający na piśmie wyznacza swojego przedstawiciela w Unii.
Przedstawiciel musi mieć siedzibę w państwie członkowskim, w którym przebywają osoby, których dane dotyczą, których dane osobowe są przetwarzane w związku z oferowaniem im towarów lub usług lub których zachowanie jest monitorowane.
Przedstawiciel zostaje upoważniony przez administratora lub podmiot przetwarzający, by do celów zapewnienia przestrzegania RODO mogły się do niego zwracać – oprócz lub zamiast do administratora lub podmiotu przetwarzającego – w szczególności organy nadzorcze i osoby, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem.
Wyznaczenie przedstawiciela przez administratora lub podmiot przetwarzający pozostaje bez uszczerbku dla postępowań, które mogą zostać wszczęte przeciwko samemu administratorowi lub podmiotowi przetwarzającemu.
PODMIOT PRZETWARZAJĄCY (Art. 28 RODO)
Podmiot przetwarzający jest zobligowany do zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Wystarczające gwarancje, podmiot przetwarzający może wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 RODO lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42 RODO.
Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Uniwersytetu Rolniczego. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje na piśmie Uniwersytet Rolniczy o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym Uczelni możliwość wyrażenia sprzeciwu wobec takich zmian.
Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Instrumentem stosowanym najczęściej przez Uniwersytet Rolniczy jest umowa powierzenia danych osobowych podpisywana z podmiotem przetwarzającym w monecie zawarcia umowy głównej, lub przed pierwszym przekazaniem danych osobowych.
Podmiot przetwarzający:
- Przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora, – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba, że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje na piśmie administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
- Zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
- Podejmuje wszelkie środki wymagane na mocy art. 32 RODO;
- Przestrzega warunków korzystania z usług innego podmiotu przetwarzającego
- Biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO
- Uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO;
- Po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba, że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
- Udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków ciążących na podmiocie przetwarzającym oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
Podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.
Jeżeli do wykonania w imieniu Uniwersytetu Rolniczego konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między Uczelnią a podmiotem przetwarzającym, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.
Bez uszczerbku dla indywidualnych umów między Uczelnią a podmiotem przetwarzającym, umowa może się opierać w całości lub w części na standardowych klauzulach umownych, także, gdy są one elementem certyfikacji udzielonej administratorowi lub podmiotowi przetwarzającemu zgodnie z art. 42 i 43 RODO. Umowa taka, lub inny akt prawny, mają formę pisemną.
PRZETWARZANIE Z UPOWAŻNIENIA PODMIOTU PRZETWARZAJĄCEGO (Art. 29 RODO)
Podmiot przetwarzający oraz każda osoba działająca z upoważnienia podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba, że wymaga tego prawo Unii lub prawo państwa członkowskiego.
REJESTROWANIE CZYNNOŚCI PRZETWARZANIA (Art. 30 RODO)
Każdy podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:
- Imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu, którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
- Kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
- Gdy ma to zastosowanie –przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń;
Jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
Rejestr kategorii czynności przetwarzania ma formę pisemną, w tym formę elektroniczną.
Podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego udostępniają rejestr na żądanie organu nadzorczego.
Obowiązki, o których mowa nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób chyba, że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.
WSPÓŁPRACA Z ORGANEM NADZORCZYM (Art. 31 RODO)
Podmiot przetwarzający oraz – gdy ma to zastosowanie – jego przedstawiciel na żądanie współpracują z organem nadzorczym w ramach wykonywania przez niego swoich zadań.
BEZPIECZEŃSTWO PRZETWARZANIA (Art. 32 RODO)
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
- Pseudonimizację i szyfrowanie danych osobowych
- Zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- Zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego
Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Wywiązywanie się z obowiązków niniejszego artykułu, można wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 RODO lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42 RODO.
Podmiot przetwarzający podejmuje działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.
ZGŁASZANIE NARUSZENIA OCHRONY DANYCH OSOBOWYCH (Art. 33 RODO)
Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi. Uniwersytet Rolniczy oczekuje od podmiotów przetwarzających, że czas od wykrycia naruszenia do zgłoszenia go nie będzie większy jak 24h.
Zgłoszenie takie musi co najmniej:
- Opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
- Zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- Opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
Opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
WYZNACZENIE INNSPEKTORA OCHRONY DANYCH (Art. 37 RODO)
Podmiot przetwarzający wyznacza inspektora ochrony danych zawsze, gdy zachodzi jedna z okoliczności:
- Przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
- Główna działalność podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
Główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.
Jeżeli podmiot przetwarzający jest organem lub podmiotem publicznym, dla kilku takich organów lub podmiotów można wyznaczyć – z uwzględnieniem ich struktury organizacyjnej i wielkości – jednego inspektora ochrony danych.
Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 RODO.
Inspektor ochrony danych może być członkiem personelu podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług.
Podmiot przetwarzający publikuje dane kontaktowe inspektora ochrony danych i zawiadamia o nich organ nadzorczy.
STATUS INSPEKTORA OCHRONY DANYCH (Art. 38 RODO)
Podmiot przetwarzający zapewnia, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.
Podmiot przetwarzający wspiera inspektora ochrony danych w wypełnianiu przez niego zadań, o których mowa w art. 39 RODO, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.
Podmiot przetwarzający zapewnia, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu podmiotu przetwarzającego.
Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Podmiot przetwarzający zapewnia, by takie zadania i obowiązki nie powodowały konfliktu interesów.
KODEKSY POSTĘPOWANIA (Art. 40)
Państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają do sporządzania kodeksów postępowania mających pomóc we właściwym stosowaniu niniejszego rozporządzenia – z uwzględnieniem specyfiki różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.
Zachęta ta jest kierowana między innymi do podmiotów pełniących rolę podmiotu przetwarzającego. Inspektor Ochrony Danych Uniwersytetu Rolniczego w Krakowie zachęca wszystkie podmioty przetwarzające Uczelni do zapoznania się z art. 40 RODO oraz rozważenia możliwości przyjęcia kodeksu postępowania.
CERTYFIKACJA (Art. 42)
Państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają – w szczególności na szczeblu Unii – do ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych mających świadczyć o zgodności z niniejszym rozporządzeniem operacji przetwarzania. Przy tym uwzględnia się szczególne potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.
Zachęta ta jest kierowana między innymi do podmiotów pełniących rolę podmiotu przetwarzającego. Inspektor Ochrony Danych Uniwersytetu Rolniczego w Krakowie zachęca wszystkie podmioty przetwarzające Uczelni do zapoznania się z art. 42 RODO oraz rozważenia możliwości dokonania certyfikacji podmiotu.
PRZEKAZYWANIE DANYCH OSOBOWYCH DO PAŃSTW TRZECICH LUB ORGANIZACJI MIĘDZYNARODOWYCH (Art. 44-47 RODO)
Przekazanie danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej, następuje tylko, gdy – z zastrzeżeniem innych przepisów RODO – administrator i podmiot przetwarzający spełnią warunki określone w art. 44-47 RODO, w tym warunki dalszego przekazania danych z państwa trzeciego lub przez organizację międzynarodową do innego państwa trzeciego lub innej organizacji międzynarodowej. Przed takim przekazaniem danych osobowych przez podmiot przetwarzający, powinien on zapoznać się z przytoczonymi artykułami oraz BEZWZGLĘDNIE SKONTAKTOWAĆ SIĘ Z UNIWERSYTETEM ROLNICZYM i otrzymać pisemną zgodę na takie przekazanie.