Powierzenie przetwarzania danych osobowych

ADMINISTRATOR DANYCH OSOBOWYCH – to MY – HURTOWNIA SPOŻYWCZA AGA spółka z ograniczoną odpowiedzialnością, spółka komandytowa Jeżeli przetwarzasz dane osobowe w NASZYM imieniu to zgodnie z RODO1 jesteś PROCESOREM (podmiotem przetwarzającym) i jako procesor musisz spełniać następujące wymagania:

1. zawrzeć z nami na piśmie umowę powierzenia przetwarzania danych osobowych;

Artykuł 28 ust. 3 RODO stanowi:

Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:

  1. przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
  2. zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
  3. podejmuje wszelkie środki wymagane na mocy art. 32;
  4. dprzestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;
  5. biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;
  6. uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36;
  7. po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
  8. udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

W związku z obowiązkiem określonym w akapicie pierwszym lit. h) podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

2. wdrożyć odpowiednie środki techniczne i organizacyjne, które będą spełniały wymogi RODO oraz chroniły prawa osób, których dane dotyczą;

W preambule RODO podkreślono

  1. W preambule RODO podkreślono, iż administrator danych powinien wybrać wyłącznie podmioty przetwarzające, które zapewniają wystarczające gwarancje, w szczególności, jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby, wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom przepisów RODO, w tym wymogom bezpieczeństwa przetwarzania.

3. prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora;

4. zgłaszać NAM wszelkie przypadki naruszenia powierzanych przez NAS danych osobowych;

5. wyznaczyć inspektora ochrony danych osobowych w sytuacjach, gdy jest to obligatoryjne;

Artykuł 37 RODO stanowi:

Wyznaczenie inspektora ochrony danych:

1. Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze, gdy:

  1. przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

6. wyznaczyć swojego przedstawiciela w Unii Europejskiej w sytuacjach wskazanych w RODO;

Dotyczy to sytuacji, w których procesor nie będzie posiadać jednostki organizacyjnej w Unii

  1. Dotyczy to sytuacji, w których procesor nie będzie posiadać jednostki organizacyjnej w Unii, jednak czynności przetwarzania przez niego dokonywane wiążą się z oferowaniem towarów lub usług osobom, których dane dotyczą w Unii (niezależnie od tego, czy wymaga się od tych osób zapłaty) lub monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

7. spełniać warunki określone w RODO dla przekazywania danych do państw trzecich;

Pamiętaj, iż procesor może przekazywać dane osobowe do państwa trzeciego

  1. Pamiętaj, iż procesor może przekazywać dane osobowe do państwa trzeciego wyłącznie na udokumentowane polecenie administratora, chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega procesor; w takim przypadku przed rozpoczęciem przetwarzania procesor informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.

1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).