Przetwarzanie danych w celu wystawienia certyfikatu ze szkolenia – jakie obowiązki ma podmiot przetwarzający

Zgodnie z art. 4 ust. 2 ogólnego rozporządzenia o ochronie danych (RODO) „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych, lub zestawach danych osobowych w sposób zautomatyzowany, lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Wykorzystanie danych osobowych – imienia i nazwiska – w celu wystawienia certyfikatu będzie przetwarzaniem danych osobowych.

Podmiot, który wystawia certyfikat, nie jest administratorem danych, ale podmiotem przetwarzającym (procesorem), któremu dane zostały powierzone do przetwarzania. Należy pamiętać, że takie przekazanie danych powinno odbyć się w drodze umowy powierzenia przetwarzania danych osobowych (art. 31 ustawy o ochronie danych osobowych). Zapisy o powierzeniu danych do przetwarzania można zamieścić też w głównej umowie o współpracy, np. na przeprowadzenie szkolenia.

Obowiązki podmiotu przetwarzającego określa art. 28 RODO. Przede wszystkim powinien on zapewnić wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Również zgodnie z RODO powierzenie danych do przetwarzania powinno odbywać się w drodze umowy (lub innego instrumentu prawnego), taka umowa powinna stanowić, że podmiot przetwarzający:

• przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora,
• zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
• podejmuje wszelkie środki wymagane na mocy art. 32 RODO (zapewnia bezpieczeństwo danych),
• przestrzega warunków korzystania z usług innego podmiotu przetwarzającego (musi uzyskać na to zgodę administratora),
• biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO,
• uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO (m.in. zawiadamianie o naruszeniu ochrony danych osobowych),
• po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie,
• udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia jego obowiązków oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

W związku z obowiązkiem zgłaszania naruszeń ochrony danych podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii bądź państwa członkowskiego o ochronie danych. Każdy podmiot przetwarzający powinien także prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora (art. 30 ust. 2 RODO).