Podmiotem, któremu ADO może powierzyć przetwarzanie danych może być osoba fizyczna lub prawna, organ publiczny, jednostka organizacyjna lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Jeżeli administrator chce powierzyć przetwarzanie danych w jego imieniu, to może w tym celu korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
Czyli obok pojęcia inspektora ochrony danych rozporządzenie wskazuje na definicję legalną podmiotu przetwarzającego (odpowiednika procesora z art. 31 ustawy o ochronie danych).
„Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, administrator korzysta z usług wyłącznie takich podmiotów przetwarzających, które dają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia i chroniło prawa podmiotów danych”
RODO nakazuje aby AD dołożył szczególnej staranności przy wyborze procesora.
Administrator może ocenić czy podmiot, mający w jego imieniu przetwarzać dane, spełnia wymienione wymogi, na przykład poprzez skontrolowanie stosowanych przez niego sposobów zabezpieczenia danych.
Stan niepewności prawnej co do powyżej wspomnianego uprawnienia administratora został w RODO zniesiony poprzez nałożenie na procesora – expressis verbis w art. 28 ust. 3 lit. h RODO – obowiązku umożliwienia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzania audytów. Przeprowadzania takich kontroli, leży w interesie administratora. To na nim ciąży prawna i biznesowa odpowiedzialność za przetwarzane dane.
Ułatwienia dostępu