Czy procesor musi stosować SZBI
Tak, jeżeli zażąda tego administrator – w umowie powierzenia przetwarzania danych.
Co może administrator względem procesora
Przypomnijmy, że umowa o powierzeniu przetwarzania danych osobowych powinna być zawarta w formie pisemnej lub elektronicznej. W treści umowy zawsze trzeba wskazać przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora oraz pozostałe kwestie wyliczone w art. 28 ust. 3 RODO.
Wśród tych kwestii art. 28 ust. 3 lit. h RODO wymienia udostępnianie administratorowi przez podmiot przetwarzający wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. Tak więc na podstawie tego przepisu administrator ma prawo prowadzić audyt i wykazywać procesorowi nieprawidłowości w przetwarzaniu danych osobowych.
Administrator ma korzystać wyłącznie z takich usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Ocena ta powinna być dokonywana przez administratora przed zawarciem umowy powierzenia.
Administrator może żądać stosowania SZBI
Administrator może więc mieć rozmaite wymagania w stosunku do podmiotu przetwarzającego, w tym także może wymagać stosowania (odpowiednio lub wprost, jeżeli jest taka możliwość) Systemu Zarządzania Bezpieczeństwem Informacji przyjętym u administratora. Natomiast takie wymagania administrator powinien stawiać przed zawarciem umowy powierzenia, gdyż to w umowie powierzenia nakłada się na procesora określone obowiązki w celu spełnienia wymogów art. 28 ust. 1 RODO.
Jeżeli więc w umowie powierzenia nie przewidziano obowiązku stosowania SZBI przyjętego u administratora to procesor nie ma takiego obowiązku.
- Dowóz dzieci do szkoły – czy konieczna umowa podpowierzenia przetwarzania
- Kiedy z agentem zawiera się umowę powierzenia przetwarzania danych
- Usługa chipowania psów – czy konieczne powierzenie przetwarzania danych osobowych
- Umowa powierzenia przetwarzania danych w związku z organizacją konferencji
- Upoważnienie do przetwarzania danych dla pracowników wykonawcy – czy to możliwe
- Jak prawidłowo przekazać zdjęcia uczestników projektu innemu podmiotowi
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
