|   | 

Programista jako podmiot przetwarzający dane osobowe cz. 2

Chociaż od rozpoczęcia stosowania przepisów RODO minęło już trochę czasu, temat obowiązków z nich wynikających nadal budzi wiele pytań. Na jedno z nich, dotyczące roli zatrudnionego na B2B programisty w procesie przetwarzania, odpowiedzieliśmy w poprzednim wpisie. 

W tym tekście omówimy i nieco szerzej przyjrzymy się kolejnemu obowiązkowi podmiotu przetwarzającego, polegającemu na prowadzeniu rejestru kategorii czynności przetwarzania

Zgodnie z art. 30 ust. 2 RODO, podmioty przetwarzające powinny prowadzić rejestr kategorii czynności przetwarzania. Dokumentuje się w nim (jak sama nazwa wskazuje) kategorie dokonywanych w imieniu administratora (czyli np. softwarehouse’u) czynności przetwarzania. Należy w nim wskazać, jakie czynności związane z powierzonymi mu danymi osobowymi wykonuje programista w związku ze świadczeniem usług na rzecz poszczególnych administratorów.

Z czego składa się rejestr kategorii czynności przetwarzania?

RODO nie narzuca konkretnej formy prowadzenia takiego rejestru – wskazuje jednak pewne elementy, które powinny się w nim znaleźć. Są to m.in.:
a) dane programisty oraz każdego administratora, w imieniu którego programista działa, wraz z danymi kontaktowymi;

b) kategorie dokonywanych przetwarzań (przykładowo, jeśli w związku z pracami nad rozwojem aplikacji programista może uzyskiwać dostęp do danych jej użytkowników, a także dokonywać modyfikacji tych danych i wykonywać kopie zapasowe, trzeba to wskazać w rejestrze);

c) informacje dotyczące przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (często ma ono miejsce np. przy korzystaniu z narzędzia w chmurze, które utrzymywane jest na serwerach poza Unią Europejską);

d) ogólny opis technicznych i organizacyjnych środków bezpieczeństwa (jeżeli w ramach przetwarzania programista korzysta jedynie z infrastruktury dostarczanej przez administratora, pracuje w jego siedzibie i nie przetwarza danych na polecenie żadnych innych administratorów, opis ten może wskazywać, że programista stosuje środki zabezpieczające zapewniane przez administratora i są one opisane w prowadzonej przez niego dokumentacji. Ważne jednak, by administrator zapoznał wcześniej programistę z wewnętrznymi zasadami przetwarzania).

Czy rejestr kategorii czynności przetwarzania powinien zostać ujawniony?

Warto mieć na uwadze, że administrator może zwrócić się do programisty o wgląd w rejestr kategorii czynności przetwarzania. Jeżeli więc znajdują się w nim dane więcej niż jednego administratora, należy uważać, by przy udostępnianiu rejestru jednemu z nich nie ujawnić jednocześnie danych innych podmiotów. Co do zasady rejestr jest jednak dokumentem wewnętrznym, nieudostępnianym osobom trzecim – chyba że w trakcie ewentualnej kontroli ze strony organu nadzorczego zajdzie konieczność przedstawienia go w całości.

Bez względu na liczbę administratorów powierzających programiście dane osobowe, podmiot przetwarzający musi mieć świadomość, że w związku z przetwarzaniem danych ciąży na nim odpowiedzialność. Musi on dbać o ich bezpieczeństwo i zobowiązany jest do informowania administratora o każdym incydencie.

Jeśli RODO dalej jest dla Ciebie zagadką, zachęcamy do pobrania naszego e-booka: https://legalgeek.pl/przewodnik-prawny-rodo/. Przeczytasz w nim m.in. o podstawowych kwestiach związanych z przetwarzaniem danych i obowiązkach wynikających z rozporządzenia. 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *