Wymogi RODO po stronie firmy zlecającej (administratora
danych)
Jeżeli firma zleca realizację badania „tajemniczego klienta”
innemu podmiotowi, a w ramach tego badania dochodzi do przetwarzania danych
osobowych (np. pracowników, współpracowników, franczyzobiorców), firma
zlecająca co do zasady pozostaje administratorem danych w rozumieniu
art. 4 pkt 7 RODO.
W takiej sytuacji administrator musi spełnić następujące
obowiązki:
1. Prawidłowe określenie ról stron
Zlecający powinien jednoznacznie ustalić, czy podmiot
realizujący badanie działa jako:
- podmiot
przetwarzający (art. 28 RODO) – wykonuje zadanie wyłącznie na
polecenie zlecającego,
czy - współadministrator
– samodzielnie decyduje o celach i sposobach przetwarzania (rzadziej
spotykane w praktyce).
Błędne określenie ról jest jedną z najczęstszych
nieprawidłowości wykazywanych w kontrolach.
2. Zawarcie umowy powierzenia przetwarzania danych
Jeżeli wykonawca działa jako podmiot przetwarzający,
zlecający ma obowiązek zawrzeć umowę powierzenia przetwarzania danych
zgodnie z art. 28 ust. 3 RODO.
Umowa powinna w szczególności określać:
- przedmiot
i czas trwania przetwarzania,
- charakter
i cel przetwarzania,
- kategorie
danych osobowych,
- kategorie
osób, których dane dotyczą,
- obowiązki
i prawa administratora,
- środki
techniczne i organizacyjne zapewniające bezpieczeństwo danych.
3. Weryfikacja podmiotu przetwarzającego
Administrator ma obowiązek wybrać podmiot przetwarzający,
który daje wystarczające gwarancje wdrożenia odpowiednich środków ochrony
danych (art. 28 ust. 1 RODO).
W praktyce oznacza to m.in.:
- ocenę
procedur bezpieczeństwa,
- sprawdzenie
doświadczenia w realizacji podobnych badań,
- możliwość
przeprowadzania audytów lub kontroli.
4. Zapewnienie podstawy prawnej przetwarzania
Zlecający musi posiadać właściwą podstawę prawną
przetwarzania danych osobowych w ramach badania „tajemniczego klienta”.
Najczęściej będzie to:
- prawnie
uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO), np.
kontrola jakości obsługi klienta,
przy jednoczesnym:
- przeprowadzeniu
testu równowagi (balansu),
- ograniczeniu
przetwarzania do danych niezbędnych (zasada minimalizacji).
5. Realizacja obowiązku informacyjnego
Osoby, których dane mogą być przetwarzane (np. pracownicy),
muszą zostać poinformowane o przetwarzaniu ich danych zgodnie z art. 13
RODO.
Informacja powinna obejmować m.in.:
- cel
przetwarzania (np. poprawa jakości obsługi),
- podstawę
prawną,
- kategorie
odbiorców danych (np. firma realizująca badanie),
- okres
przechowywania danych.
Nie jest dopuszczalne całkowite „utajnienie” przetwarzania
danych osobowych pod pretekstem badania.
6. Ograniczenie zakresu danych i czasu przetwarzania
Administrator powinien:
- ograniczyć
zakres danych do minimum (np. brak zbędnych danych identyfikujących),
- ustalić
jasne terminy usunięcia lub anonimizacji danych po zakończeniu badania.
7. Udokumentowanie zgodności
Zlecający powinien być w stanie wykazać zgodność z RODO
(zasada rozliczalności), m.in. poprzez:
- dokumentację
umów,
- analizę
ryzyka,
- procedury
wewnętrzne,
- ewentualne
DPIA (OSOD), jeśli badanie wiąże się z podwyższonym ryzykiem.
Brak komentarzy:
Prześlij komentarz