Powierzenie przetwarzania danych osobowych

ADMINISTRATOR DANYCH OSOBOWYCH – to MY – PULSAR K.BOGUSZ spółka jawna z siedzibą w Siedlcu (Siedlec 150, 32-744 Łapczyca, KRS: 75204). Jeżeli przetwarzasz dane osobowe w NASZYM imieniu to zgodnie z RODO1 jesteś PROCESOREM (podmiotem przetwarzającym) i jako procesor musisz spełniać następujące wymagania:

  • 1. zawrzeć z nami na piśmie umowę powierzenia przetwarzania danych osobowych;

    Rozwiń

    Artykuł 28 ust. 3 RODO stanowi:
    Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:

    • przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora - co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej - chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
    • zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
    • podejmuje wszelkie środki wymagane na mocy art. 32;
    • dprzestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;
    • biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;
    • uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36;
    • po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
    • udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

    • W związku z obowiązkiem określonym w akapicie pierwszym lit. h) podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.
  • 2. wdrożyć odpowiednie środki techniczne i organizacyjne, które będą spełniały wymogi RODO oraz chroniły prawa osób, których dane dotyczą;

    Rozwiń

    • W preambule RODO podkreślono, iż administrator danych powinien wybrać wyłącznie podmioty przetwarzające, które zapewniają wystarczające gwarancje, w szczególności, jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby, wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom przepisów RODO, w tym wymogom bezpieczeństwa przetwarzania.
    • 3. prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora;

    • 4. zgłaszać NAM wszelkie przypadki naruszenia powierzanych przez NAS danych osobowych;

  • 5. wyznaczyć inspektora ochrony danych osobowych w sytuacjach, gdy jest to obligatoryjne;

    Rozwiń

    Artykuł 37 RODO stanowi:
    Wyznaczenie inspektora ochrony danych:
    1. Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze, gdy:

    • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
    • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
    • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.
  • 6. wyznaczyć swojego przedstawiciela w Unii Europejskiej w sytuacjach wskazanych w RODO;

    Rozwiń

    • Dotyczy to sytuacji, w których procesor nie będzie posiadać jednostki organizacyjnej w Unii, jednak czynności przetwarzania przez niego dokonywane wiążą się z oferowaniem towarów lub usług osobom, których dane dotyczą w Unii (niezależnie od tego, czy wymaga się od tych osób zapłaty) lub monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.
  • 7. spełniać warunki określone w RODO dla przekazywania danych do państw trzecich;

    Rozwiń

    • Pamiętaj, iż procesor może przekazywać dane osobowe do państwa trzeciego wyłącznie na udokumentowane polecenie administratora, chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega procesor; w takim przypadku przed rozpoczęciem przetwarzania procesor informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.

1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).