Audyt RODO, Wdrożenie RODO, Inspektor Ochrony Danych - RodoRadar Warszawa
  • Usługi
    • Wdrożenie RODO – Kompleksowa Obsługa i Profesjonalne Doradztwo
    • Outsourcing IOD – Funkcja IOD
    • Ochrona Sygnalistów
    • KOD – Koordynator Ochrony Danych
    • Audyt RODO
    • Audyt zgodności systemów IT z RODO
    • Doradztwo IT
    • Testowanie zabezpieczeń RODO
    • RODOPOMOC – Szybka Pomoc Ekspertów RODO
  • Aktualności
  • RODO
    • RODO – tekst rozporządzenia
    • Podział według kategorii
    • Kary RODO
  • Szkolenia RODO
    • Powierzenie danych osobowych – praktyczne szkolenie RODO
    • Wdrożenie dokumentacji ODO – praktyczne szkolenie RODO
    • RODO w marketingu – praktyczne szkolenie RODO
    • e-learning RODO
    • e-learning Cyberbezpieczeństwo
  • Wydarzenia
  • O nas
  • kontakt

Artykuł 28 – Podmiot przetwarzający

Tekst przepisu:

  1. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
  2. Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
  3. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:
    1. przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
    2. zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
    3. podejmuje wszelkie środki wymagane na mocy art. 32;
    4. przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;
    5. biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;
    6. uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36;
    7. po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
    8. udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
      1. W związku z obowiązkiem określonym w akapicie pierwszym lit. h) podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.
  4. Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.
  5. Wystarczające gwarancje, o których mowa w ust. 1 i 4 niniejszego artykułu, podmiot przetwarzający może wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42.
  6. Bez uszczerbku dla indywidualnych umów między administratorem a podmiotem przetwarzającym, umowa lub inny akt prawny, o których mowa w ust. 3 i 4 niniejszego artykułu, mogą się opierać w całości lub w części na standardowych klauzulach umownych, o których mowa w ust. 7 i 8 niniejszego artykułu, także gdy są one elementem certyfikacjiudzielonej administratorowi lub podmiotowi przetwarzającemu zgodnie z art. 42 i 43.
  7. Komisja może określić standardowe klauzule umowne dotyczące kwestii, o których mowa w ust. 3 i 4 niniejszego artykułu, zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2.
  8. Organ nadzorczy może przyjąć standardowe klauzule umowne dotyczące kwestii, o których mowa w ust. 3 i 4 niniejszego artykułu, zgodnie z mechanizmem spójności, o którym mowa w art. 63.
  9. Umowa lub inny akt prawny, o których mowa w art. 3 i 4, mają formę pisemną, w tym formę elektroniczną.
  10. Bez uszczerbku dla art. 82, 83 i 84, jeżeli podmiot przetwarzający naruszy niniejsze rozporządzenie przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania.

Wdrożenie RODO – oferta cenowa

Zewnętrzny Inspektor Ochrony Danych

Audyt RODO

Spis treści

ROZDZIAŁ I - Przepisy ogólne

  • Artykuł 1 – Przedmiot i cele
  • Artykuł 2 – Materialny zakres stosowania
  • Artykuł 3 – Terytorialny zakres stosowania
  • Artykuł 4 – Definicje

ROZDZIAŁ II - Zasady

  • Zasady dotyczące przetwarzania danych osobowych – Artykuł 5
  • Artykuł 6 – Zgodność przetwarzania z prawem
  • Artykuł 7 – Warunki wyrażenia zgody
  • Artykuł 8 – Warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego
  • Artykuł 9 – Przetwarzanie szczególnych kategorii danych osobowych
  • Artykuł 10 – Przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawa
  • Artykuł 11 – Przetwarzanie niewymagające identyfikacji

ROZDZIAŁ III - Prawa osoby, której dane dotyczą

  • Sekcja 1 – Przejrzystość oraz tryb korzystania z praw
    • Artykuł 12 – Przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą
  • Sekcja 2 – Informacje i dostęp do danych osobowych
    • Artykuł 13 – Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą
    • Artykuł 14 – Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą
    • Artykuł 15 – Prawo dostępu przysługujące osobie, której dane dotyczą
  • Sekcja 3 – Sprostowanie i usuwanie danych
    • Artykuł 16 – Prawo do sprostowania danych
    • Artykuł 17 – Prawo do usunięcia danych („prawo do bycia zapomnianym”)
    • Artykuł 18 – Prawo do ograniczenia przetwarzania
    • Artykuł 19 – Obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania
    • Artykuł 20 – Prawo do przenoszenia danych
  • Sekcja 4 – Prawo do sprzeciwu oraz zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach
    • Artykuł 21 – Prawo do sprzeciwu
    • Artykuł 22 – Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie
  • Sekcja 5 – Ograniczenia
    • Artykuł 23 – Ograniczenia

ROZDZIAŁ IV - Administrator i podmiot przetwarzający

  • Sekcja 1 – Obowiązki ogólne
    • Artykuł 24 – Obowiązki administratora
    • Artykuł 25 – Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych
    • Artykuł 26 – Współadministratorzy
    • Artykuł 27 – Przedstawiciele administratorów lub podmiotów przetwarzających niemających jednostki organizacyjnej w Unii
    • Artykuł 28 – Podmiot przetwarzający
    • Artykuł 29 – Przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającego
    • Artykuł 30 – Rejestrowanie czynności przetwarzania
    • Artykuł 31 – Współpraca z organem nadzorczym
  • Sekcja 2 – Bezpieczeństwo danych osobowych
    • Artykuł 32 – Bezpieczeństwo przetwarzania
    • Artykuł 33 – Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu
    • Artykuł 34 – Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych
  • Sekcja 3 – Ocena skutków dla ochrony danych i uprzednie konsultacje
    • Artykuł 35 – Ocena skutków dla ochrony danych (Analiza DPIA)
    • Artykuł 36 – Uprzednie konsultacje
  • Sekcja 4 – Inspektor ochrony danych
    • Artykuł 37 – Wyznaczenie inspektora ochrony danych
    • Artykuł 38 – Status inspektora ochrony danych
    • Artykuł 39 – Zadania inspektora ochrony danych
  • Sekcja 5 – Kodeksy postępowania i certyfikacja
    • Artykuł 40 – Kodeksy postępowania
    • Artykuł 41 – Monitorowanie zatwierdzonych kodeksów postępowania
    • Artykuł 42 – Certyfikacja
    • Artykuł 43 – Podmiot certyfikujący

ROZDZIAŁ V - Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych

  • Artykuł 44 – Ogólna zasada przekazywania
  • Artykuł 45 – Przekazywanie na podstawie decyzji stwierdzającej odpowiedni stopień ochrony
  • Artykuł 46 – Przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń
  • Artykuł 47 – wiążące reguły korporacyjne
  • Artykuł 48 – Przekazywanie lub ujawnianie niedozwolone na mocy prawa Unii
  • Artykuł 49 – Wyjątki w szczególnych sytuacjach
  • Artykuł 50 – Międzynarodowa współpraca na rzecz ochrony danych osobowych

ROZDZIAŁ VI - Niezależne organy nadzorcze

  • Sekcja 1 – Niezależny status
    • Artykuł 51 – Organ nadzorczy
    • Artykuł 52 – Niezależność
    • Artykuł 53 – Ogólne warunki dotyczące członków organu nadzorczego
    • Artykuł 54 – Zasady ustanawiania organu nadzorczego
  • Sekcja 2 – Właściwość, zadania i uprawnienia
    • Artykuł 55 – Właściwość
    • Artykuł 56 – Właściwość wiodącego organu nadzorczego
    • Artykuł 57 – Zadania
    • Artykuł 58 – Uprawnienia
    • Artykuł 59 – Sprawozdanie z działalności

ROZDZIAŁ VII - Współpraca i spójość

  • Sekcja 1 – Współpraca
    • Artykuł 60 – Współpraca miedzy wiodącym organem nadzorczym a innymi organami nadzorczymi, których sprawa dotyczy
    • Artykuł 61 – Wzajemna pomoc
    • Artykuł 62 – Wspólne operacje organów nadzorczych
  • Sekcja 2 – Spójność
    • Artykuł 63 – Mechanizm spójności
    • Artykuł 64 – Opinia Europejskiej Rady Ochrony Danych
    • Artykuł 65 – Rozstrzyganie sporów przez Europejską Radę Ochrony Danych
    • Artykuł 66 – Tryb pilny
    • Artykuł 67 – Wymiana informacji
  • Sekcja 3 – Europejska rada ochrony danych
    • Artykuł 68 – Europejska Rada Ochrony Danych
    • Artykuł 69 – Niezależność
    • Artykuł 70 – Zadania Europejskiej Rady Ochrony Danych
    • Artykuł 71 – Sprawozdania
    • Artykuł 72 – Procedura
    • Artykuł 73 – Przewodniczący
    • Artykuł 74 – Zadania przewodniczącego
    • Artykuł 75 – Sekretariat
    • Artykuł 76 – Poufność

ROZDZIAŁ VIII - Środki ochrony prawnej, odpowiedzialność i sankcje

  • Artykuł 77 – Prawo do wniesienia skargi do organu nadzorczego
  • Artykuł 78 – Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu
  • Artykuł 79 – Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu
  • Artykuł 80 – Reprezentowanie osób, których dane dotyczą
  • Artykuł 81 – Zawieszenie postępowania
  • Artykuł 82 – Prawo do odszkodowania i odpowiedzialność
  • Artykuł 83 – Ogólne warunki nakładania administracyjnych kar pieniężnych
  • Artykuł 84 – Sankcje

ROZDZIAŁ IX - Przepisy dotyczące szczególnych sytuacji związanych z przetwarzaniem

  • Przetwarzanie a wolność wypowiedzi i informacji – Artykuł 85
  • Artykuł 86 – Przetwarzanie a publiczny dostęp do dokumentów urzędowych
  • Artykuł 87 – Przetwarzanie krajowego numeru identyfikacyjnego
  • Artykuł 88 – Przetwarzanie w kontekście zatrudnienia
  • Artykuł 89 – Zabezpieczenia i wyjątki mające zastosowanie do przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych
  • Artykuł 90 – Obowiązek zachowania tajemnicy
  • Artykuł 91 – Istniejące zasady ochrony danych obowiązujące kościoły i związki wyznaniowe

ROZDZIAŁ X - Akty delegowane i akty wykonawcze

  • Artykuł 92 – Wykonywanie przekazanych uprawnień
  • Artykuł 93 – Procedura komitetowa

ROZDZIAŁ XI - Przepisy końcowe

  • Artykuł 94 – Uchylenie dyrektywy 95/46/WE
  • Artykuł 95 – Stosunek do dyrektywy 2002/58/WE
  • Artykuł 97 – Sprawozdania Komisji
  • Artykuł 98 – Przegląd innych aktów prawnych Unii dotyczących ochrony danych
  • Artykuł 99 – Wejście w życie i stosowanie

Preambuła

  • Motywy 1-15
  • Motywy 16-30
  • Motywy 31-45
  • Motywy 46-60
  • Motywy 61-75
  • Motywy 76-90
  • Motywy 91-105
  • Motywy 106-120
  • Motywy 121-135
  • Motywy 136-150

SPROSTOWANIE

  • SPROSTOWANIE z maja 2018 r.

RODOradar.pl - Wszystko o RODO

Wychodząc naprzeciw trudnościom i wątpliwościom, jakie stwarza wdrażanie przepisów prawa ochrony danych osobowych, stworzyliśmy serwis, którego celem jest dostarczanie wiedzy i wskazówek pomocnych przy wdrażaniu RODO w organizacjach.

Potrzebujesz pomocy we wdrożeniu przepisów RODO w swojej organizacji?

SKONTAKTUJ SIĘ Z NAMI

2025 © Audytel korzystając z serwisu akceptujesz politykę prywatności i cookies.

Nawigacja

  • Aktualności
  • Tekst GDPR/RODO
  • O nas
  • Szkolenia RODO
  • Wydarzenia
  • Regulamin
  • Polityka prywatności
  • Raportowanie ESG

Blog

  • Inspektor Ochrony Danych
  • Dopuszczalność cold calling i cold mailing na gruncie RODO
  • Kiedy nie trzeba spełniać obowiązku informacyjnego z RODO
  • Dane byłego pracownika – co z nimi zrobić, aby być w zgodzie z RODO?
  • Udostępnienie czy powierzenie przetwarzania danych osobowych?
  • Formularz kontaktowy a RODO
  • Ochrona medycznych danych osobowych
Czytaj dalej >>

Nasz newsletter

Dołącz do listy mailingowej i otrzymuj od nas zawsze aktualne informcje!

Administratorem danych osobowych jest Audytel S.A. z siedzibą w Warszawie (00-546), ul. I. Skorupki 5. Dane będą przetwarzane w celu wysyłania informacji handlowych. Podanie danych jest dobrowolne. Każda osoba ma prawo dostępu do treści swoich danych oraz ich poprawiania.

  • Jesteśmy na LinkedinLinkedin
  • Jesteśmy na FacebookFacebook