statystyki

RODO: Audyt najlepszą i najbardziej wiarygodną metodą weryfikacji

autor: Joanna Pieńczykowska27.03.2018, 09:35; Aktualizacja: 27.03.2018, 09:46
podpis, dokument, prawo, biznes, umowa

Jakie nowe obowiązki będzie miał podmiot przetwarzający?źródło: ShutterStock

Jeśli obecnie obowiązujące umowy powierzenia nie zawierają elementów, które zgodnie z RODO powinny być w nich uwzględnione, wówczas należy je odpowiednio zmodyfikować - tłumaczy dr Andrzej Kaczmarek, dyrektor departamentu informatyki w Biurze Generalnego Inspektora Ochrony Danych Osobowych.

Czy stare umowy o powierzeniu przetwarzania danych (zawarte zgodnie z przepisami u.o.d.o.) mogą pozostać bez zmian po wejściu RODO, czy też wszystkie powinny być dostosowane do rozporządzenia przed 25 maja 2018 r.?

Nie ma na to pytanie jednoznacznej odpowiedzi, gdyż dotychczasowe umowy powierzenia przetwarzania danych zawarte zgodnie z wymaganiami określonymi w art. 31 ustawy o ochronie danych osobowych, oprócz elementów wprost wymienionych w tym przepisie jako niezbędne, mogły regulować również inne aspekty. Artykuł 31 u.o.d.o. obligatoryjnie wymagał jedynie, aby były zawierane na piśmie, a także aby został w nich określony zakres i cel przetwarzania danych (co wynika z ust. 2 powołanego przepisu, który stanowi, że podmiot, któremu powierzono przetwarzanie danych, może je przetwarzać wyłącznie w zakresie i celu przewidzianym w umowie). W umowach powierzenia zawieranych zgodnie z u.o.d.o. nie było natomiast potrzeby określania wymagań dotyczących sposobu zabezpieczenia danych ani innych wymagań dotyczących np. rozliczalności wykonywanych czynności, gdyż wynikały one bezpośrednio z ustawy. Artykuł 31 ust. 3 stanowił bowiem, że podmiot, któremu powierzono przetwarzanie, przed jego rozpoczęciem jest zobowiązany podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36–39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. Ustawa o ochronie danych osobowych wprost stanowi, że w przypadku powierzenia przetwarzania, odpowiedzialność za przestrzeganie wymagań w zakresie bezpieczeństwa danych i rozliczalność ponosi podmiot, któremu powierzono przetwarzanie. Nie było jednak przeszkód, aby w dotychczas zawieranych umowach powierzenia strony zobowiązały się dodatkowo do świadczenia innych usług, np. udzielania pomocy w wyjaśnieniach dotyczących stosowanych zabezpieczeń czy sposobu postępowania w przypadku zaistnienia incydentu bezpieczeństwa.

Natomiast art. 28 ust. 3 ogólnego rozporządzenia o ochronie danych (RODO) wprost wskazuje wiele innych, dodatkowych elementów, które obligatoryjnie umowa powierzenia ma zawierać. Należą do nich m.in. zobowiązania przetwarzającego do udzielania administratorowi danych pomocy (pełna lista – patrz ramka 1).

Zatem jeśli obecnie obowiązujące umowy powierzenia nie zawierają tych elementów, które zgodnie z RODO powinny być w nich uwzględnione, wówczas należy je odpowiednio zmodyfikować.


Pozostało jeszcze 67% treści

Czytaj wszystkie artykuły na gazetaprawna.pl oraz w e-wydaniu DGP
Zapłać 97,90 zł Kup abonamentna miesiąc
Mam kod promocyjny
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy INFOR Biznes. Kup licencję

Polecane

Twój komentarz

Zanim dodasz komentarz - zapoznaj się z zasadami komentowania artykułów.

Widzisz naruszenie regulaminu? Zgłoś je!

Redakcja poleca

Polecane