8 obowiązków podmiotu przetwarzającego zgodnie z rodo

Jeżeli przetwarzanie danych osobowych ma się odbywać w imieniu administratora, powinien on korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi ogólnego rozporządzenia o ochronie danych i chroniło prawa osób, których dane dotyczą. Podmiot przetwarzający natomiast nie powinien korzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

Podstawą przetwarzania danych osobowych przez podmiot przetwarzający powinna być umowa lub inny instrument prawny, który podlega prawu Unii Europejskiej lub prawu państwa członkowskiego i wiążę podmiot przetwarzający i administratora, określając:

Ta umowa lub inny instrument prawny powinny określać, że podmiot przetwarzający:

1. Przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora.

Dotyczy to też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.

2. Zapewnia, że osoby przetwarzające dane zachowają tajemnicę.

Podmiot przetwarzający zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.

3. Podejmuje wszelkie środki wymagane na mocy art. 32 ogólnego rozporządzenia.

Zgodnie z art. 32 ogólnego rozporządzenia, aby zapewnić bezpieczeństwo danych osobowych, należy m.in. wdrożyć odpowiednie środki techniczne i organizacyjne, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

4. Przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w art. 28 ust. 2 i 4 ogólnego rozporządzenia.

Zgodnie z art. 28 ust. 2 ogólnego rozporządzenia podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. Natomiast jak wynika z art. 28 ust. 4 ogólnego rozporządzenia na podmiot, z którego korzysta procesor, zostają nałożone te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym.

5. Wspomaga administratora w wykonywaniu obowiązków wobec podmiotów danych.

Biorąc pod uwagę charakter przetwarzania, w miarę możliwości podmiot przetwarzający pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III ogólnego rozporządzenia (prawo do: sprostowania danych, usunięcia danych, ograniczenia przetwarzania, przenoszenia danych, obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania).

6. Wspomaga administratora w wykonywaniu innych obowiązków.

Uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 ogólnego rozporządzenia – zapewnienie bezpieczeństwa danych osobowych, zgłaszanie naruszenia ochrony danych organowi nadzorczemu i zawiadamianie o tym osoby, której dane dotyczą, prowadzenie oceny skutków dla ochrony danych, uprzednie konsultacje z organem nadzorczym.

7. Po zakończeniu umowy usuwa dane i ich kopie.

Po zakończeniu świadczenia usług związanych z przetwarzaniem, zależnie od decyzji administratora, usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.

8. Umożliwia administratorowi wykonanie obowiązków poprzez udostępnienie informacji.

Udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych powyżej oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.  W związku z tym obowiązkiem podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie ogólnego rozporządzenia lub innych przepisów Unii Europejskiej lub państwa członkowskiego o ochronie danych.