Fajgielski Paweł, Powierzenie przetwarzania danych osobowych
Powierzenie przetwarzania danych osobowych
Powierzenie przetwarzania danych osobowych
Powierzenie przetwarzania danych osobowych
W przypadku gdy administrator chciałby, aby czynności przetwarzania wykonywał za niego inny podmiot, administrator może powierzyć przetwarzanie danych. Wymogi dotyczące powierzenia zostały określone w art. 28 r.o.d.o. i są one określone bardziej szczegółowo niż wymagania wskazane w poprzedniej regulacji krajowej (w art. 31 u.o.d.o.). Prawodawca unijny nakłada na administratora obowiązek wyboru podmiotu przetwarzającego, który zapewni przestrzeganie przepisów r.o.d.o. Podstawą powierzenia może być umowa lub inny instrument prawny (np. porozumienie administracyjne). Przepis art. 28 ust. 3 r.o.d.o. określa wymogi co do treści tego rodzaju umowy lub innego instrumentu prawnego. Prawodawca unijny rozstrzygnął również kwestię dalszego powierzenia (podpowierzenia) danych - jest ono dopuszczalne, zgodnie z art. 28 ust. 2 r.o.d.o. - jeżeli administrator wyrazi na to zgodę. Podmiot, któremu podmiot przetwarzający na zlecenie administratora powierzył przetwarzanie (podwykonawca), powinien spełniać wymogi, jakie odnoszą się do podmiotu przetwarzającego. Prawodawca unijny przewidział możliwość wykorzystania w konstrukcji powierzenia przetwarzania zatwierdzonych kodeksów postępowania, zatwierdzonych mechanizmów certyfikacji oraz standardowych klauzul umownych. W przypadku gdy podmiot, któremu administrator powierzył przetwarzania danych, narusza przepisy r.o.d.o. w zakresie określenia celów i sposobów przetwarzania, przepis art. 28 ust. 10 nakazuje uznanie tego podmiotu za administratora.
Procedury prawne pokazane w formie interaktywnych schematów, dzięki którym sprawdzisz, jak krok po kroku przebiega postępowanie w danej sprawie.
Dowiedz się więcej o LEX Navigator.
Zamów bezpłatną prezentację zdalną , podczas której przedstawimy Ci to narzędzie.
Krok: zaistnienie potrzeby powierzenia przetwarzania danych
Administrator może uznać, że nie jest technicznie bądź organizacyjnie przygotowany do dokonywania określonych operacji na danych osobowych w ramach procesów przetwarzania, bądź że inny podmiot jest w stanie wykonać te działania lepiej, taniej bądź szybciej. W tej sytuacji administrator powinien rozważyć możliwość skorzystania z konstrukcji powierzenia przetwarzania danych. Powierzenie może dotyczyć różnego rodzaju czynności przetwarzania danych, np. zgromadzenie danych, wprowadzenie danych do systemu informatycznego, usunięcie danych itp.
Krok: ocena, czy przepisy szczególne regulują kwestie powierzenia przetwarzania danych
Kwestia powierzenia przetwarzania danych może być przedmiotem regulacji przepisów szczególnych, które mogą potwierdzać dopuszczalność powierzenia przetwarzania, określać bardziej szczegółowe zasady powierzenia albo ograniczać bądź wyłączać możliwość powierzenia przetwarzania danych.