Czy podmiot przetwarzający może odrzucić zapisy umowy dotyczące kontroli jego działania
Umożliwienie administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzania audytów, w tym inspekcji, i przyczynia się do nich to obowiązek podmiotu przetwarzającego wynikający z art. 28 ust. 3 lit. h RODO. Za rezygnację z takich zapisów w umowie powierzenia odpowiedzialność ponosi administrator.
Zasady i warunki współpracy z podmiotami przetwarzającymi dane na zlecenie i w imieniu administratora określa art. 28 ogólnego rozporządzenia o ochronie danych (RODO). W ustępie trzecim wskazane są wręcz gotowe elementy i zapisy, jakie muszą znaleźć się w treści umowy powierzenia lub innym instrumencie prawnym regulującym:
- przedmiot i czas trwania przetwarzania,
- charakter i cel przetwarzania,
- rodzaj danych osobowych,
- kategorie osób, których dane dotyczą,
- obowiązki i prawa administratora i podmiotu przetwarzającego (procesora).
Czy administrator może kontrolować procesora
Artykuł 28 ust. 3 lit. h RODO jasno mówi, że podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. Nie jest to więc kaprys administratora, a obowiązek prawny. Procesor nie może go kwestionować. Dodatkowo ust. 1 tego artykułu mówi, że jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą.
Jeszcze przed podpisaniem odpowiedniej umowy powierzenia administrator powinien sprawdzić, czy procesor będzie w stanie wywiązać się z wymogów stawianych mu przez RODO. Zawarte już teraz, zwłaszcza długoterminowe umowy powierzenia powinny być aneksowane i zaktualizowane o nowe, wymagane zapisy.
Powierzenie z naruszeniem przepisów – odpowiada administrator
Administrator może mieć problem z wyegzekwowaniem podpisania nowych umów powierzenia z podmiotami przetwarzającymi, od których jest niejako uzależniony, nie ma możliwości zmiany usługodawcy, dostawcy oprogramowania czy serwisanta. Skorzystanie z umowy adhezyjnej to decyzja administratora i to on ponosi za nią odpowiedzialność. Musi więc zważyć ryzyko i ocenić, co bardziej mu się opłaca – zerwanie umowy i współpracy czy funkcjonowanie bez kompletnej umowy powierzenia, nieprzenoszącej całej odpowiedzialności za przetwarzanie powierzonych danych na procesora.
- Przenoszenie baz danych – czy konieczna umowa powierzenia przetwarzania
- Inspektor ochrony danych dla urzędu i samorządowych jednostek organizacyjnych
- Transmisja obrad rady gminy – czy konieczna umowa powierzenia przetwarzania
- Badania lekarskie strażaków z OSP – kto administratorem danych osobowych
- Wyszukiwanie danych osobowych w darknecie na zlecenie – czy konieczna umowa powierzenia przetwarzania danych
- Umowa podpowierzenia przetwarzania danych w związku z realizacją projektu unijnego
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
