Cz. 2 Nowe zasady współpracy z podmiotami przetwarzającymi dane – jakie wyzwania czekają podmioty przetwarzające?

rodo

Nowe przepisy również dla procesorów stanowią ogromne wyzwanie, gdyż będą musieli oni wykazać, iż spełniają nałożone na nich wymagania. Oprócz zobowiązań wskazanych powyżej, podmiot przetwarzający, podobnie jak administrator danych, będzie miał obowiązek:

  • niezwłocznego informowania administratora, jeżeli zdaniem podmiotu przetwarzającego wydane mu polecenie stanowi naruszenie rozporządzenia lub innych przepisów,
  • bez zbędnej zwłoki będzie musiał zgłosić administratorowi danych naruszenie ochrony danych osobowych,
  • tylko za zgodą administratora będzie mógł korzystać z innego podmiotu przetwarzającego,
  • prowadzić rejestr kategorii czynności przetwarzania danych (art. 37 RODO),
  • udostępniać rejestr na żądanie organu nadzorczego,
  • współpracować z organem nadzorczym (na jego żądanie)w ramach wykonywania przez niego swoich zadań,
  • wyznaczenia inspektora ochrony danych (w określonych przypadkach),
  • opublikowania danych kontaktowych inspektora ochrony danych i zawiadomienie o nich organu nadzorczego,
  • spełnić warunki niezbędne do przekazywania danych osobowych do państwa trzeciego.

Niespełnienie któregoś z powyższych obowiązków obarczone jest oczywiście bardzo wysokimi sankcjami finansowymi.

W świetle przepisów RODO wybór procesora staje się dla administratorów danych wyzwaniem, które obarczone jest dużym ryzykiem. Będą oni musieli dokonać oceny, czy ryzyko dopuszczenia do współpracy danego podmiotu jest duże, dlatego też tak istotne jest, aby administratorzy uzbroili się w odpowiednie narzędzia, które pozwolą im kontrolować wykonywanie obowiązków przez podmioty przetwarzające. W tym celu w umowie z procesorem należy zawrzeć zapisy zobowiązujące go do:

  • przeprowadzania wewnętrznych audytów, których wyniki będą przedstawione administratorowi,
  • przeprowadzenia zewnętrznych audytów, których wyniki będą przedstawione administratorowi,
  • przeprowadzania samodzielnych kontroli przez administratora danych,
  • zapewnienia administratorowi możliwości weryfikacji poziomu bezpieczeństwa stosowanego przez podmiot przetwarzający.
Joanna Peryt

Autor

Joanna Peryt

Z uwagi na posiadaną wiedzę specjalizuje się w zagadnieniach związanych z ochroną danych pracowników. Jako konsultant zrealizowała wiele audytów bezpieczeństwa danych osobowych oraz projektów wdrożeniowych. Obecnie pełni rolę Administratora Bezpieczeństwa Informacji dla klientów Audytel S.A., w tym w międzynarodowych korporacjach, m.in. z branży farmaceutycznej.

więcej informacji w zakładce O Nas >>