BiznesKontrolowanie procesorów danych osobowych > redakcja Opublikowane 24 czerwca 20180 0 118 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Aby ten proces był zgodny z prawem konieczne jest zawarcie umowy pomiędzy administratorem danych a podmiotem przetwarzającym. Co więcej, można skontrolować naszych procesorów czy, aby na pewno zapewniają odpowiednie bezpieczeństwo wszystkim informacjom.Nowe możliwościArtykuł 28 ust. 3 lit. h RODO wskazuje, że umowa powierzenia przetwarzania danych osobowych stanowi, iż procesor udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w RODO. Co więcej, administrator – podmiot, który powierzył dane – może przeprowadzić w tym celu audyt lub inspekcję, a przedsiębiorstwo, któremu zostały powierzone informacje zobowiązane jest do umożliwienia wykonania tej czynności.Przepis ten jak również całe unijne rozporządzenie wymogło na wielu przedsiębiorcach, aby przykładali większą uwagę do przetwarzania i powierzania danych.Podwykonawca zobowiązany jest do zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniło wymagania rozporządzenia i chroniło prawa osób, których dane dotyczą. Co istotne, administrator może korzystać tylko i wyłącznie z podmiotów świadczących usługi dające takie gwarancje. Aby mieć pewność, że wszystko przebiega zgodnie z planem podmioty przekazujące dane mogą zlecić zewnętrznej firmie skontrolowanie wybranej instytucji – mówi Piotr Liwszic, specjalista ds. ochrony danych, ODO 24. Taki audyt zgodności stanowi ogół działań, dzięki którym otrzymuje się obiektywną i niezależną ocenę funkcjonowania pod kątem spełnienia obowiązku prawnego w zakresie ochrony danych osobowych. Podczas kontroli zostanie m.in. poddana analizie posiadana dokumentacja odnośnie jej zgodności z prawem, zweryfikowany zakres i cel przetwarzania informacji czy merytoryczny system techniczno-organizacyjny ochrony danych osobowych – dodaje.Trzeba uważaćRozporządzenie wyraźnie podkreśla, że jeżeli procesor naruszy przepisy przy określaniu celów i sposobu przetwarzania, zostanie potraktowany tak jak ich administrator. Dlatego wszystkie przedsiębiorstwa powinny dokładnie zinwentaryzować przypadki powierzenia danych i porównać je z obecnymi regulacjami wprowadzanymi przez unijne rozporządzenie. Jeżeli okaże się, że umowy nie spełniają wszystkich norm, powinny zostać niezwłocznie zaaneksowane.Dzięki nowym przepisom administratorzy będą wiedzieli o wszystkich podmiotach zewnętrznych, które będą miały faktyczny dostęp do powierzanych danych, ponieważ aktualnie obowiązuje zakaz podpowierzania przetwarzania danych osobowych innym podmiotom bez pisemnej zgody administratora danych.Warto również zwrócić uwagę, że procesor może przetwarzać powierzone informacje wyłącznie na udokumentowane polecenie podmiotu, który przekazał dane. Innymi słowy musi gromadzić i przechowywać wytyczne tak by mógł udowodnić, że sam nie podjął decyzji o zmianie sposobu czy też celu przetwarzania – wskazuje Piotr Liwszic, specjalista ds. ochrony danych, ODO 24. Co w przypadku, gdy okaże się, że procesor zmieni np. cel przetwarzania? Według RODO automatycznie staje się administratorem i ponosi pełną odpowiedzialność niejako w zastępstwie pierwotnego podmiotu, który przekazał dane. Dzięki unijnemu rozporządzeniu zyskaliśmy nowe narzędzie, jakim jest audyt procesorów, który daje nam pewność, że nasi podwykonawcy nie łamią warunków zawartej umowy – podsumowuje.
