LexDigital

RODO - Rozdział IV - Artykuł 28

RODO - Rozdział IV - Artykuł 28

RODO - Rozdział IV - Artykuł 28

ROZDZIAŁ IV  - Administrator i podmiot przetwarzający

Sekcja 1 - Obowiązki ogólne

Artykuł 28 - Podmiot przetwarzający

1. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich  podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków  technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób,  których dane dotyczą.  

2. Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub  ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje  administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.  

3. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego,  które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora,  określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz  kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny  stanowią w szczególności, że podmiot przetwarzający:  

a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania  danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na  niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku  przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym,  o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;  

b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy  lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;  

c) podejmuje wszelkie środki wymagane na mocy art. 32;  

d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;  

e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie  środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą,  w zakresie wykonywania jej praw określonych w rozdziale III;  

f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się  z obowiązków określonych w art. 32–36;  

g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub  zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa  członkowskiego nakazują przechowywanie danych osobowych;  

h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych  w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora  przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.  

W związku z obowiązkiem określonym w akapicie pierwszym lit. h) podmiot przetwarzający niezwłocznie informuje  administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych  przepisów Unii lub państwa członkowskiego o ochronie danych.  

4. Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający  korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy  umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki  ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym,  o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji  wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom  niniejszego rozporządzenia. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim  obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego  podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.  

5. Wystarczające gwarancje, o których mowa w ust. 1 i 4 niniejszego artykułu, podmiot przetwarzający może  wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 lub  zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42.  

6. Bez uszczerbku dla indywidualnych umów między administratorem a podmiotem przetwarzającym, umowa lub  inny akt prawny, o których mowa w ust. 3 i 4 niniejszego artykułu, mogą się opierać w całości lub w części na standardowych klauzulach umownych, o których mowa w ust. 7 i 8 niniejszego artykułu, także gdy są one elementem  certyfikacji udzielonej administratorowi lub podmiotowi przetwarzającemu zgodnie z art. 42 i 43.  

7. Komisja może określić standardowe klauzule umowne dotyczące kwestii, o których mowa w ust. 3 i 4 niniejszego  artykułu, zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2.  

8. Organ nadzorczy może przyjąć standardowe klauzule umowne dotyczące kwestii, o których mowa w ust. 3 i 4  niniejszego artykułu, zgodnie z mechanizmem spójności, o którym mowa w art. 63.  

9. Umowa lub inny akt prawny, o których mowa w art. 3 i 4, mają formę pisemną, w tym formę elektroniczną.  

10. Bez uszczerbku dla art. 82, 83 i 84, jeżeli podmiot przetwarzający naruszy niniejsze rozporządzenie przy  określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania. 

Polecane

Podsumowanie listopadowego newslettera Europejskiego Inspektora Ochrony Danych (EIOD/EDPS)

Podsumowanie listopadowego newslettera Europejskiego Inspektora Ochrony Danych (EIOD/EDPS)

​W listopadowym biuletynie informacyjnym Europejskiego Inspektora Ochrony Danych (EIOD/EDPS) czytamy m.in. o: pierwszej Konferencji Nadzoru EIOD współorganizowanej z Eurojustem – Agencją Unii Europejskiej ds. Współpracy Wymiarów Sprawiedliwości w Sprawach Karnych oraz EPPO – Prokuratura Europejska; ochronie danych osobowych przed atakami typu phishing i ransomware; kontrolach przeprowadzonych przez EIOD wśród trzech dużych systemów informatycznych UE.

Standard TISAX

Standard TISAX

Firmy z branży automotive wiedzą o standardzie TISAX. Podłożem standardu jest kompleks wymagań branżowych, które mają zapewnić, że dane i informacje będą bezpieczne. Standard TISAX skupia się na zapewnieniu by przetwarzanie i zarządzanie informacjami odbywało się w sposób bezpieczny i odpowiedzialny.

487 milionów numerów telefonów na sprzedaż: wyciek danych z WhatsApp

487 milionów numerów telefonów na sprzedaż: wyciek danych z WhatsApp

Do sieci wyciekły aktualne numery telefonów komórkowych prawie 500 milionów użytkowników WhatsApp. Jak podaje portal Cybernews, 16 listopada pewien człowiek opublikował reklamę na znanym forum społeczności hakerskiej, twierdząc, że sprzedaje bazę danych z 2022 r. zawierającą 487 milionów numerów telefonów użytkowników WhatsApp.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk