PODMIOT PRZETWARZAJĄCY WEDŁUG RODO

Podmiot któremu ADO może powierzyć przetwarzanie danych

Podmiotem, któremu ADO może powierzyć przetwarzanie danych może być osoba fizyczna lub prawna, organ publiczny, jednostka organizacyjna lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Jeżeli administrator chce powierzyć przetwarzanie danych w jego imieniu, to może w tym celu korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

Czyli obok pojęcia inspektora ochrony danych rozporządzenie wskazuje na definicję legalną podmiotu przetwarzającego (odpowiednika procesora z art. 31 ustawy o ochronie danych).

„Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, administrator korzysta z usług wyłącznie takich podmiotów przetwarzających, które dają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia i chroniło prawa podmiotów danych”

RODO nakazuje aby AD dołożył szczególnej staranności przy wyborze procesora.

Administrator może ocenić czy podmiot, mający w jego imieniu przetwarzać dane, spełnia wymienione wymogi, na przykład poprzez skontrolowanie stosowanych przez niego sposobów zabezpieczenia danych.

Obowiązek umożliwienia przeprowadzania audytów

Stan niepewności prawnej co do powyżej wspomnianego uprawnienia administratora został w RODO zniesiony poprzez nałożenie na procesora – expressis verbis w art. 28 ust. 3 lit. h RODO – obowiązku umożliwienia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzania audytów. Przeprowadzania takich kontroli, leży w interesie administratora. To na nim ciąży prawna i biznesowa odpowiedzialność za przetwarzane dane.