Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Działania organizacyjne

05-12-2017 Autor: Tomasz Izydorczyk

Powierzenie przetwarzania danych osobowych jest taką usługą, która wymaga specjalnych postanowień w umowie pomiędzy administratorem a podmiotem przetwarzającym. Aby zapewnić wysoki standard ochrony praw i wolności podmiotów danych, warto wdrożyć dodatkowe działania zarówno przed zawarciem umowy powierzenia, jaki i po jej zrealizowaniu.

 

Prawodawca unijny w art. 28 ust. 3 rodo wyraźnie zaznacza, że umowa pomiędzy podmiotem przetwarzającym a administratorem musi zawierać: „przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora”. Skoro więc prawodawca unijny wymienił oddzielnie przedmiot przetwarzania oraz rodzaj danych osobowych, sformułowanie „przedmiot przetwarzania” należy rozumieć jako konkretne operacje lub zestaw operacji przetwarzania, które zostały wymienione w definicji przetwarzania w art. 4 pkt 2 rodo.

WAŻNE:
Istotą powierzenia przetwarzania danych, jako usługi zleconej przez administratora podmiotowi przetwarzającemu, są operacje na danych i to one właśnie powinny być uzgodnione w pierwszej kolejności pomiędzy administratorem a procesorem. Natomiast operacje przetwarzania składają się na procesy przetwarzania, które realizowane są w całości lub częściowo przez podmiot przetwarzający.

1. Działania przed zawarciem umowy powierzenia

Prawodawca unijny w przepisach rodo wprowadza nową instytucję gwarancji zapewnienia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie realizowane przez podmioty przetwarzające, spełniało wymogi rodo. Celem tych gwarancji jest ochrona praw osób, których dane dotyczą.

Na czym będą polegać w praktyce wystarczające gwarancje wdrożenia przez procesora odpowiednich środków organizacyjnych i technicznych? Użycie słowa „wystarczające” w stosunku do owych gwarancji daje możliwość różnego podejścia przez różnych administratorów w stosunku do poszczególnych procesów powierzenia przetwarzania. Takie uznaniowe rozumienie gwarancji wpisuje się w podejście oparte na ryzyku, stanowiące jeden z filarów nowej filozofii ochrony dnach osobowych. Dlatego przed powierzeniem przetwarzania danych osobowych podmiotowi zewnętrznemu administrator powinien dokonać oceny ryzyka zgodnie z art. 25 rodo, naruszenia praw i wolności związanego z przyszłym przetwarzaniem zleconym na zewnątrz. W zależności od oszacowanego ryzyka administrator będzie stosował odmienny zestaw środków organizacyjnych i technicznych w stosunku do różnych procesów przetwarzania danych realizowanych przez procesorów.

 

2. Audyty

Innym działaniem wartym rozważenia przed zawarciem umowy powierzenia przetwarzania będą audyty zgodności potencjalnego dostawcy:

  • z wymaganiami rodo,
  • z zatwierdzonymi kodeksami postępowania,
  • ze stosownymi normami, np. ISO.

Audyt może być dokonany zarówno przez personel administratora, jak i przez zewnętrznego audytora. Jeśli oferent usługi przetwarzania nie deklaruje zgodności postępowania z branżowym, zatwierdzonym przez organ, kodeksem postępowania, o których mowa w art. 40 rodo, nic nie stoi na przeszkodzie, aby przeprowadzić audyt zgodności z takim kodeksem. Prawodawca unijny w rodo nie wymaga stosowania kodeksów, ale w procesie audytu kodeksy mogą posłużyć jako doskonały punkt odniesienia zarówno dla administratora, jak i procesora. Brak stosowania certyfikatów czy kodeksów postępowania nie oznacza, że potencjalny podmiot przetwarzający nie działa zgodnie z przepisami.

[...]

Autor jest ABI w ANECOOP Polska sp. z o.o., wykładowcą w Wyższej Szkole Bankowej w Poznaniu oraz konsultantem w kancelarii MARUTA WACHTA sp. j.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

______________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.