Standardowe klauzule umowne – współpraca z procesorem w ramach zgłaszania naruszeń
Standardowe klauzule umowne w zakresie powierzenia przetwarzania danych wskazują, że
„W przypadku naruszenia ochrony danych osobowych podmiot przetwarzający współpracuje z administratorem i pomaga mu w wypełnianiu jego obowiązków wynikających z art. 33 i 34 rozporządzenia (UE) 2016/679 z uwzględnieniem charakteru przetwarzania i informacji, którymi dysponuje podmiot przetwarzający” (klauzula nr 9). Sprawdź, czego powinien dotyczyć ten zapis w umowie powierzenia przetwarzania danych.
Kwestie dotyczące naruszeń dotyczą zarówno administratora jak i procesora
Klauzula nr 9 dotyczy zgłaszania naruszenia ochrony danych osobowych w dwóch odrębnych przypadkach, tj. gdy naruszenia dopuścił się:
-
administrator albo
-
podmiot przetwarzający.
Pod numerem 9.2 odnoszącym się do tego drugiego przypadku wskazano, że strony określają w załączniku III wszystkie inne elementy, które ma przedstawić podmiot przetwarzający. Dotyczy to wspomagania administratora w wypełnianiu jego obowiązków określonych w art. 33 i 34 RODO.
Środki bezpieczeństwa ujmowane w umowie
W umowie powierzenia należy zatem szczegółowo opisać środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych. To, czy i jakie środki zabezpieczające przetwarzanie danych powinien wdrożyć administrator danych (ew. procesor) reguluje art. 24 RODO. Zgodnie z tym przepisem: „uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”.
Należy samodzielnie ocenić czy i jakie środki powinny być podjęte, w szczególności znając specyfikę środowiska pracy i warunki w jakich dane osobowe mogą być zabezpieczone w konkretnej lokalizacji.
Zobowiązania podmiotu przetwarzającego w umowie powierzenia
W załączniku nr III umowy należy ująć także procesora, co zresztą wynika także z jego treści in fine.
„W przypadku przekazywania danych podmiotom przetwarzającym lub podprzetwarzającym należy również opisać konkretne środki techniczne i organizacyjne, jakie powinien zastosować podmiot przetwarzający lub podprzetwarzający, aby móc udzielić pomocy administratorowi.”
-
rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L nr 119, str. 1) – art. 28, art. 33, art. 44-49.
- Wpływ sztucznej inteligencji na ochronę danych osobowych
- Organizacja konkursu dla uczniów – umowa powierzenia przetwarzania danych pomiędzy szkołą a organem prowadzącym
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
- Obowiązek informacyjny w związku z rozmową telefoniczną - jak przekazać klauzulę informacyjną RODO
- Postępowanie z ryzykiem dla danych osobowych w związku z wdrożeniem sztucznej inteligencji AI
- Kiedy należy sporządzić ocenę skutków dla ochrony danych w związku z wdrożeniem sztucznej inteligencji
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
