Czy w takiej sytuacji uznać należy, iż procesor jest zobligowany do powołania w ramach swojej struktury inspektora ochrony danych?

Pytania i odpowiedzi
Status:  Aktualne
Autor odpowiedzi: Jakubik Mateusz
Odpowiedzi udzielono: 28 kwietnia 2019 r., stan prawny dotychczas nie uległ zmianie

PYTANIE

Serwis IT świadczy usługi informatyczne dla kilku podmiotów wykonującego działalność leczniczą PWDL w celu utrzymania ich systemów teleinformatycznych, w których prowadzona jest dokumentacja medyczna, i w celu zapewnienia bezpieczeństwa tych systemów - działając przy tym, jako podmiot przetwarzający (zawarto umowę powierzenia przetwarzania danych). Siłą rzeczy ma styczność w procesie wykonywania czynności zleconych z przetwarzaniem danych (przeglądanie, tworzenie kopii zapasowych, odtwarzanie systemu z kopii zapasowych, zakładanie kont pracowników w systemach informatycznych). Wszystkie te czynności fizycznie mają miejsce na terenie PWDL, z jednym tylko wyjątkiem zdalnego dostępu realizowanego z siedziby Serwisu IT. Serwis IT nie ma jednak wpływu decyzyjnego na stosowane przez PWDL środki zabezpieczenia technicznego, nie jest decyzyjny w zakresie tworzenia, wdrażania do stosowania proponowanych przez niego rozwiązań. Serwis IT nie gromadzi żadnych danych poza systemem informatycznym PWDL, zdalny bowiem dostęp skutkuje tym, iż operacje wykonywane są zdalnie jednak w systemie PWDL.

Czy w takiej sytuacji uznać należy, iż procesor jest zobligowany do powołania w ramach swojej struktury IOD? Procesor prowadzi stosowną dokumentację ochrony danych oraz rejestry, w tym rejestr kategorii przetwarzania danych osobowych, przeszkolił pracowników i monitoruje swoje systemy. Serwis w swej działalności wykonywanej względem innych płaszczyzn niż dla PWDL nie spełnia kryteriów RODO, aby powołać IOD. Wątpliwość powstaje w związku z faktem przetwarzania danych jako procesor na zlecenie administratora danych osobowych (PWDL), który ma taki obowiązek powołania IOD.

ODPOWIEDŹ

Pełna treść dostępna po zalogowaniu do LEX