Kontrolowanie procesów danych osobowych

Korzystanie z usług podwykonawców staje się coraz popularniejsze. Wiąże się to jednak w większości przypadków z przekazywaniem danych osobowych na zewnątrz, czyli powierzeniem ich przetwarzania, zarówno realnie, jak i wirtualnie. Aby ten proces był zgodny z prawem konieczne jest zawarcie umowy pomiędzy administratorem danych a podmiotem przetwarzającym. Co więcej, można skontrolować naszych procesorów czy, aby na pewno zapewniają odpowiednie bezpieczeństwo wszystkim informacjom.

 

Nowe możliwości


Artykuł 28 ust. 3 lit. h RODO wskazuje, że umowa powierzenia przetwarzania danych osobowych stanowi, iż procesor udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w RODO. Co więcej, administrator – podmiot, który powierzył dane – może przeprowadzić w tym celu audyt lub inspekcję, a przedsiębiorstwo, któremu zostały powierzone informacje zobowiązane jest do umożliwienia wykonania tej czynności. Przepis ten jak również całe unijne rozporządzenie wymogło na wielu przedsiębiorcach, aby przykładali większą uwagę do przetwarzania i powierzania danych. - Podwykonawca zobowiązany jest do zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniło wymagania rozporządzenia i chroniło prawa osób, których dane dotyczą. Co istotne, administrator może korzystać tylko i wyłącznie z podmiotów świadczących usługi dające takie gwarancje. Aby mieć pewność, że wszystko przebiega zgodnie z planem podmioty przekazujące dane mogą zlecić zewnętrznej firmie skontrolowanie wybranej instytucji – mówi Piotr Liwszic, specjalista ds. ochrony danych, ODO 24. - Taki audyt zgodności stanowi ogół działań, dzięki którym otrzymuje się obiektywną i niezależną ocenę funkcjonowania pod kątem spełnienia obowiązku prawnego w zakresie ochrony danych osobowych. Podczas kontroli zostanie m.in. poddana analizie posiadana dokumentacja odnośnie jej zgodności z prawem, zweryfikowany zakres i cel przetwarzania informacji czy merytoryczny system techniczno-organizacyjny ochrony danych osobowych – dodaje.


Trzeba uważać


Rozporządzenie wyraźnie podkreśla, że jeżeli procesor naruszy przepisy przy określaniu celów i sposobu przetwarzania, zostanie potraktowany tak jak ich administrator. Dlatego wszystkie przedsiębiorstwa powinny dokładnie zinwentaryzować przypadki powierzenia danych i porównać je z obecnymi regulacjami wprowadzanymi przez unijne rozporządzenie. Jeżeli okaże się, że umowy nie spełniają wszystkich norm, powinny zostać niezwłocznie zaaneksowane. Dzięki nowym przepisom administratorzy będą wiedzieli o wszystkich podmiotach zewnętrznych, które będą miały faktyczny dostęp do powierzanych danych, ponieważ aktualnie obowiązuje zakaz podpowierzania przetwarzania danych osobowych innym podmiotom bez pisemnej zgody administratora danych. - Warto również zwrócić uwagę, że procesor może przetwarzać powierzone informacje wyłącznie na udokumentowane polecenie podmiotu, który przekazał dane. Innymi słowy musi gromadzić i przechowywać wytyczne tak by mógł udowodnić, że sam nie podjął decyzji o zmianie sposobu czy też celu przetwarzania – wskazuje Piotr Liwszic, specjalista ds. ochrony danych, ODO 24. - Co w przypadku, gdy okaże się, że procesor zmieni np. cel przetwarzania? Według RODO automatycznie staje się administratorem i ponosi pełną odpowiedzialność niejako w zastępstwie pierwotnego podmiotu, który przekazał dane. Dzięki unijnemu rozporządzeniu zyskaliśmy nowe narzędzie, jakim jest audyt procesorów, który daje nam pewność, że nasi podwykonawcy nie łamią warunków zawartej umowy – podsumowuje.

 

Biuro prasowe ODO 24 Sp. z o.o.

Autor
Zaloguj sięi komentuj pod swoim nickiem, jeśli nie masz jeszcze konta zarejestruj się
Treść
 
Copyright © 2012 CSR - Design & Engine - strony www - FineCMS.pl
UA-38322178-2