ZADZWOŃ

Aktualności prawne

Przetwarzanie danych osobowych na podstawie powierzenia w świetle RODO – część I

Facebook
Twitter
LinkedIn

Powierzenie przez administratora przetwarzania danych osobowych jest działaniem rozpowszechnionym w praktyce obrotu gospodarczego. Trudno znaleźć administratora danych osobowych, który nie powierzyłby przetwarzania danych choćby jednemu podmiotowi, zwłaszcza że jest to nieodzowny element korzystaniu z tzw. usług outsourcowanych. Zlecanie podmiotowi zewnętrznemu świadczenia usług call center, księgowych czy kancelaryjnych nieodzownie wiąże się z powierzeniem takiemu usługodawcy przetwarzania danych osobowych powierzonych przez administratora.

Obecna ustawowa regulacja powierzenia danych do przetwarzania jest szczątkowa. Ustawodawca unijny poświęcił jej w RODO zdecydowanie więcej uwagi – nie tylko zwiększył obowiązki podmiotów przetwarzających,  ale i nałożył na nie istotne obowiązki.

Komu administrator może powierzyć przetwarzanie danych?

RODO wymaga, by administrator powierzał przetwarzanie danych osobowych wyłącznie takim podmiot, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, dzięki którym przetwarzanie będzie zgodne z przepisami rozporządzenia i chroniło prawa osób, których dotyczą dane.

W praktyce oznacza to, że administrator powinien z dużą dozą ostrożności nawiązywać współpracę, w ramach której niezbędne będzie powierzenie kontrahentowi przetwarzania danych osobowych i weryfikować, czy potencjalny procesor danych rzeczywiście daje rękojmię właściwego przetwarzania. W preambule do RODO wskazano, że podmiot przetwarzający może to wykazać poprzez stosowanie zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji – praktyczne znaczenie przystąpienia do kodeksu czy uzyskania certyfikatu wzrasta więc także w przypadku procesorów.

Umowa powierzenia według RODO

Ustawodawca unijny szeroko odniósł się do treści umowy powierzenia zawieranej pomiędzy administratorem a podmiotem przetwarzającym. Umowa powinna zawierać następujące elementy:

  • przedmiot i czas trwania przetwarzania;
  • charakter i cel przetwarzania;
  • rodzaj danych osobowych oraz kategorie osób, których dane dotyczą;
  • obowiązki i prawa administratora.

RODO wymaga także, by umowa powierzenia stanowiła m. in., że podmiot przetwarzający:

  • przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający (w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny);
  • zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
  • podejmuje wszelkie środki zapewniające bezpieczeństwo przetwarzania zgodnie z RODO;
  • przestrzega warunków korzystania z usług innego podmiotu przetwarzającego (tj. nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora, a także zapewnia nałożenie na inny podmiot przetwarzający tożsamych obowiązków jak te wynikające z umowy powierzenia pomiędzy administratorem a procesorem);
  • biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w RODO;
  • uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w RODO;
  • po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
  • udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. W związku z tym obowiązkiem podmiot przetwarzający także niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

Umowa powierzenia może być zawarta w formie pisemnej lub elektronicznej.

W kolejnej części artykułu omówione zostaną obowiązki i zakres odpowiedzialności podmiotów przetwarzających za naruszenie przepisów RODO.

Anna Eliszewska – radca prawny

 

 

 

 

pexels-photo (2) komp2
Energetyka

Konferencja „Oczekiwania firm energochłonnych wobec polityki gospodarczej Polski, sektora energetycznego i polskiej nauki”

Michał Sznycer brał czynny udział w debacie eksperckiej na Konferencji w Akademii Górniczo-Hutniczej w Krakowie w dniu 14 marca 2024 r.    Michał Sznycer, partner MGS LAW, radca prawny wspólnie z mec. Anną Kucińską, z ramienia Stowarzyszenie Prawników Prawa Energetycznego uczestniczyli w Konferencji, która odbywała się w auli głównej AGH University of Kraków. Konferencja „Oczekiwania firm

Czytaj więcej »
21 marca 2024
O Nas

Maria Pekar dołączyła do Zespołu MGS LAW. Serdecznie witamy!

Serdecznie witamy Marię Pekar, specjalistkę ds. administracyjnych w Zespole MGS LAW.    Maria Pekar pracuje w naszej Kancelarii od lutego br. Jest profesjonalistką w dziedzinie administracji i posiada bogate doświadczenie w tym zakresie. Przejęła szeroki zakres obowiązków, obejmujący nie tylko przygotowywanie dokumentów i obsługę korespondencji, lecz także efektywną współpracę z firmami zewnętrznymi oraz bezpośredni kontakt z klientami.  Jesteśmy pewni, że umiejętności,

Czytaj więcej »
11 marca 2024
Energetyka

Taryfy dynamiczne – prosumenci ryzykują podwójnie? – komentują M. Sznycer i F. Pilarski

Artykuł red. Anny Będkowskiej z komentarzami radców prawnych Michała Sznycera i Filipa Pilarskiego z dnia 04.03.2024 r. jest dostępny na stronie GLOBEnergia.pl / Taryfy dynamiczne – prosumenci ryzykują podwójnie?     Planowane na sierpień tego roku wdrożenie taryf dynamicznych zmieni sposób rozliczania zakupu energii elektrycznej, co otworzy drzwi dla nowych rozwiązań zarówno

Czytaj więcej »
6 marca 2024
MGS LAW KANCELARIA RADCÓW PRAWNYCH
Mądry, Sznycer, Sambożuk i Partnerzy

KONTAKT

Centrum biurowe VIGO
ul. Szymanowskiego 2 / 2.08
80-280 Gdańsk

office@mgs-law.eu 

Tel: +48 58 521 92 50
Fax: +48 58 521 92 60

 

INFORMACJE

NIP: 583-305-19-17
REGON: 220716047
KRS: 0000319602

Nr rachunku bankowego:

PL 79 1050 1764 1000 0023 3714 1853

SOCIAL MEDIA

Linkedin Facebook-f Twitter Envelope

© 2021 MGS LAW | Created with ♡ by Gienia Creative | Patrycja Okła