LexDigital

Obowiązki podmiotów przetwarzających i podmiotów dalszego powierzenia - opinia EROD z 7.10.2024

EROD [Europejska Rada Ochrony Danych] przyjęła na początku października opinię w sprawie niektórych obowiązków Administratora danych osobowych wynikających z polegania na podmiotach przetwarzających i podprzetwarzających, czyli wskazówki dla podmiotów, które angażują podwykonawców/usługodawców w swoją działalność.

Obowiązki podmiotów przetwarzających i podmiotów dalszego powierzenia - opinia EROD z 7.10.2024

Tym razem nie mówimy o wytycznych, ale o opinii wydanej w następstwie wniosku złożonego do EROD przez duński organ ochrony danych na podstawie art. 64 ust. 2 RODO, na podstawie którego każdy organ ochrony danych może zwrócić się do Rady o wydanie opinii w sprawach mających ogólne zastosowanie lub wywołujących skutki w więcej niż jednym państwie członkowskim.

Dlaczego ma to znaczenie dla Twojej firmy?

Zatrudniając firmy zewnętrzne do obsługi zadań związanych z danymi osobowymi - takich jak lista płac, marketing lub usługi IT - pozostajesz odpowiedzialny za sposób przetwarzania tych danych. Nawet jeśli firmy te korzystają z podwykonawcy, to Twoja firma jest odpowiedzialna za zapewnienie zgodności z RODO.

Obowiązki podmiotów przetwarzających i podmiotów dalszego powierzenia - opinia EROD z 7.10.2024.
Obowiązki podmiotów przetwarzających i podmiotów dalszego powierzenia - opinia EROD z 7.10.2024.


Wspomniana opinia Europejskiej Rady Ochrony Danych wyjaśnia ważne obowiązki podczas pracy z podmiotami przetwarzającymi i podmiotami dalszego przetwarzania (firmami zatrudnionymi przez podmiot przetwarzający do pomocy w zadaniach związanych z danymi).

Dyrektywa NIS 2. Kluczowe branże dotknięte zmianą prawa

Opinia EROD - wnioski

EROD w swojej opinii szczegółowo omawia, w jaki sposób administrator danych powinien zarządzać relacjami z podmiotami przetwarzającymi i podmiotami dalszego przetwarzania. Poniżej podsumowanie tez zawartych w dokumencie.

Wniosek 1. Administrator powinien znać tożsamość wszystkich podmiotów przetwarzających i podmiot dalszego przetwarzania w całym łańcuchu. Powinien mieć dostęp do informacji o nazwie, adresie i osobie kontaktowej każdego z nich, aby zapewnić zgodność z art. 28 RODO.

Wniosek 2. Administrator ma obowiązek zweryfikować, czy podmiot przetwarzający i podmioty dalszego przetwarzania zapewniają wystarczające gwarancje w zakresie ochrony danych. Ta weryfikacja powinna być odpowiednio udokumentowana i różnić się w zależności od ryzyka związanego z przetwarzaniem danych.

Wniosek 3. Administrator nie ma obowiązku systematycznie sprawdzać umów pomiędzy podmiotem przetwarzającym a podmiotem dalszego przetwarzania aby upewnić się, że obowiązki wynikające z RODO zostały przekazane w dół łańcucha przetwarzania, ale w zależności od okoliczności może być to konieczne, aby zapewnić zgodność z zasadą rozliczalności.

Wniosek 4. Administrator musi ocenić i mieć dostęp do odpowiedniej dokumentacji, która zapewnia, że poziom ochrony danych pozostaje zgodny z RODO, nawet podczas przekazywania danych do krajów trzecich.

W pierwszej kolejności, gdy dane osobowe będą przekazywane do państw trzecich w związku z korzystaniem z usług (pod)podmiotów przetwarzających, administrator powinien ocenić i być w stanie przedstawić dokumentację dotyczącą mapowania przekazywania danych. Administrator powinien dopilnować, aby eksporter (który przetwarza dane osobowe w jego imieniu) przeprowadził mapowanie przekazywania, określając, które dane osobowe są przekazywane.

Opinia EROD. Analiza LexDigital.
Opinia EROD. Analiza LexDigital.

Wniosek 5. Zakres obowiązków Administratora w zakresie weryfikacji procesów może się różnić w zależności od tego jakie ryzyko dla praw i wolności osób niosą powierzone czynności przetwarzania. Im wyższe ryzyka tym weryfikacja bardziej szczegółowa a środki bezpieczeństwa bardziej rygorystyczne.

Wniosek 6. Każda taka umowa powinna uwzględniać szczególne obowiązki administratorów i podmiotów przetwarzających. Chociaż art. 28 zawiera listę punktów, które muszą zostać uwzględnione w każdej umowie regulującej stosunki między administratorami i podmiotami przetwarzającymi, pozostawia on miejsce na negocjacje między stronami takich umów. Pole do negocjacji jest ograniczone wymogami określonymi w art. 28(3) RODO. Oznacza to, że klauzula przewidziana w art. 28 ust. 3 lit. a) RODO - "chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający" - jest zalecana, ale nie obowiązkowa. Jej brak nie oznacza automatycznego naruszenia RODO, ale umowa powinna jasno wskazywać, że procesor musi działać zgodnie z prawem UE lub krajowym.

Standardowe klauzule umowne (SCC), a umowa powierzenia przetwarzania danych osobowych

Aby administrator danych osobowych zapewnił zgodność z opinią EROD dotyczącą relacji z procesorami i podprocesorami, w swojej polityce ochrony danych powinien wdrożyć następujące środki organizacyjne i techniczne:

Zastosowanie opinii EROD w praktyce w ramach systemu ochrony danych osobowych

Bądź RODOsmart. Proponuję Ci kilka elementów, które warto uwzględnić na bazie wniosków z opinii EROD.

  1. W procedurze wyboru dostawcy, w aktualnym projekcie karty oceny dostawcy:
    1. Upewnij się, że uwzględniłeś informacje o dostawcy i wskazanych przez niego podwykonawcach w zakresie:
      1. nazwy firmy
      2. adresu siedziby
      3. osoby kontaktowej (imię, nazwisko, stanowisko, dane kontaktowe)
      4. kategorii dostawcy (opis jaki uwzględniasz w obowiązku informacyjnym)
      5. zakresu przetwarzania [przedmiot usługi lub części przedmiotu usługi realizowanego przez ten podmiot].
    2. Upewnij się, że dokonałeś dywersyfikacji oczekiwanych środków organizacyjno-technicznych wobec dostawców w zależności od charakteru przetwarzanych danych oraz poziomu ryzyka.
    3. Upewnij się, że w karcie dostawcy zawarłeś obowiązek zgłoszenia transferu danych poza UE. Dotyczy to zarówno dostawcy, jak i jego podwykonawców. Jeśli taki transfer ma miejsce, a w kraju odbiorcy nie ma decyzji Komisji Europejskiej o odpowiednim poziomie ochrony danych, musisz przeprowadzić ocenę wpływu transferu danych (Transfer Impact Assessment - TIA). Ocena ta powinna być wykonana przed podpisaniem umowy.
    4. Upewnij się, że szablon umowy powierzenia przetwarzania danych jest zgodny z art. 28 RODO. Wprowadź do umowy wszystkie niezbędne zapisy, które muszą być uwzględnione. Zostaw przestrzeń na dodatkowe zapisy, które można negocjować z dostawcą. Nawet jeśli dostawca nie zaakceptuje Twojej wersji umowy, porównaj jego dokument z własnym projektem. Dzięki temu szybko zauważysz brakujące elementy lub te, które są dla Ciebie nie do przyjęcia.

      Jak legalnie przetwarzać dane osobowe? Rozwiewamy wątpliwości

  2. W ramach procesów z obszaru utrzymania ciągłości działania i ciągłej analizy ryzyk dla przetwarzania danych:
    1. Prowadź (w oparciu o karty dostawców, z którymi podpisano umowę) rejestr dostawców i poddostawców do nich przypisanych i regularnie aktualizuj te informacje.
    2. Pamiętaj o udokumentowanej ocenie faktycznie stosowanych przez dostawców środków organizacyjno-technicznych i przestrzegania warunków umowy. Wyniki i daty oceny uwzględnij w rejestrze dostawców, co pomoże zaplanować ci kolejne działania:
      1. Przeprowadz i udokumentuj TIA, jeśli niezbędne, wracaj do tego dokumentu przy okazji audytu.
      2. Przeprowadź i udokumentuj audyt realizacji warunków umowy. Sprawdź, czy dostawca i podmioty dalszego przetwarzania stosują środki organizacyjno-techniczne, które zadeklarowali w umowie. Upewnij się, że działają wyłącznie na podstawie Twoich pisemnych instrukcji i czy przetwarzają dane tylko w zakresie określonym w umowie i w Twoim celu, a nie we własnych, które nie są przez Ciebie akceptowane.
      3. Regularnie sprawdzaj czy podmioty przetwarzające informują Cię jako administratora danych o wszelkich zmianach w łańcuchu przetwarzania (np. dodanie nowego podmiotu dalszego przetwarzania).

Zakazane praktyki w zakresie AI według art. 5 AI Act

Twoja firma jest odpowiedzialna za zapewnienie zgodności z RODO, nawet jeśli korzysta z usług firm zewnętrznych.
Twoja firma jest odpowiedzialna za zapewnienie zgodności z RODO, nawet jeśli korzysta z usług firm zewnętrznych.

EROD - podsumowanie wniosków z nowej opinii

Pamiętaj! Jeśli zatrudniasz dostawców, w tym takich, którzy opierają swoje usługi na łańcuchu podwykonawców, to odpowiedzialność za zgodność z RODO przetwarzania danych nie rozkłada się i nie regresuje a spoczywa na Tobie. 

Aby chronić swoją firmę i dbać o bezpieczeństwo danych osobowych przetwarzanych przez Twoją firmę, wypracuj sprawne mechanizmy działania przy wyborze dostawców. Wykorzystaj wnioski zawarte w opinii EROD, jak i innych wytycznych organów ochrony danych osobowych, co ułatwi ci organizację pracy. Przede wszystkim jednak, skoro korzystasz z profesjonalnego wsparcia w procesach biznesowych, to korzystaj też z profesjonalnego wsparcia organizacji i utrzymania zgodności z RODO Twojej firmy.

źródło: https://www.edpb.europa.eu/our...

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Baza newslettera LexDigital

Baza newslettera LexDigital

Zapraszamy do zapoznania się z archiwalnymi wydaniami newslettera LexDigital. W środku znajdą Państwo bezpłatne, pogłębione analizy naszych ekspertów.

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk