05.08.2024

Anna Bartosiak dla Rynku Prawniczego: „Powierzenie danych osobowych w praktyce, czyli jak bezpiecznie zaangażować procesora”

Bogdan Setlak

Zgodnie z RODO, przekazanie danych osobowych podmiotom przetwarzającym, zwanym procesorami, wiąże się z wieloma obowiązkami. Głównym wymogiem jest zawarcie umowy powierzenia przetwarzania, która formalizuje współpracę, lecz nie zwalnia administratora danych z wszelkiej odpowiedzialności związanej z powierzeniem. Administratorzy regularnie zapominają o istotnych aspektach związanych z powierzeniem danych, takich jak przedkontraktowa weryfikacja procesora czy bieżące monitorowanie zgodności z RODO. Co powinni zrobić? Tę kwestię na łamach Rynku Prawniczego wyjaśnia adw. Anna Bartosiak. Zapraszamy serdecznie do lektury.

Pierwszym krokiem w procesie jest weryfikacja potencjalnego procesora. Przed podpisaniem umowy warto przeanalizować dostępne informacje na temat procesora, przeprowadzić audyt weryfikacyjny, w tym skorzystać ze szczegółowego kwestionariusza oceny, który pomoże sprawdzić, czy procesor spełnia wymogi RODO. Kwestionariusz ten powinien obejmować kwestie takie jak odpowiednie miejsce i sposób przetwarzania danych, obowiązywanie u potencjalnego procesora odpowiednich procedur bezpieczeństwa danych, posiadanie certyfikatów zgodności oraz przeprowadzanie audytów bezpieczeństwa.

Kluczowym etapem jest negocjacja umowy powierzenia przetwarzania danych. Umowa musi spełniać wymagania art. 28 RODO i precyzyjnie regulować prawa i obowiązki stron dotyczące w szczególności audytów, podpowierzenia danych oraz procedury zgłaszania naruszeń ochrony danych. Ważne jest, aby umowa szczegółowo określała zakres powierzonych danych, a zobowiązania i prawa stron były jasno określone.

Po zawarciu umowy, administrator jest zobowiązany do regularnego monitorowania przetwarzania danych osobowych procesora i upewnienia się, że nadal spełnia on wymogi RODO. Obejmuje to przeprowadzanie audytów oraz weryfikację zgodności z umową. Należy także pamiętać, że zakończenie współpracy z procesorem nie oznacza jedynie rozwiązania umowy. Dane osobowe powinny być zwrócone lub usunięte zgodnie z instrukcją administratora, a cały proces powinien zostać odpowiednio udokumentowany.

Niedopełnienie tych obowiązków może prowadzić do poważnych konsekwencji finansowych. Przykładem jest decyzja PUODO ze stycznia 2022 roku, który za naruszenie obowiązków związanych z weryfikacją procesora nałożył rekordową karę przekraczającą 4,9 miliona złotych.

Jakie kroki należy podjąć przed podpisaniem umowy powierzenia przetwarzania danych? Co powinno znaleźć się w umowie powierzenia przetwarzania danych? Co należy zrobić z danymi osobowymi po zakończeniu współpracy z procesorem?

Na te i wiele innych pytań w swoim artykule, który ukazał się na łamach Rynku Prawniczego, odpowiada adw. Anna Bartosiak.

Zapraszamy serdecznie do lektury!

Chcesz być na bieżąco? Zapisz się do naszego newslettera

Zapisując się do naszego newslettera wyrażasz zgodę na przesyłanie drogą e-mail informacji na temat istotnych wydarzeń z dziedziny prawa, zmian legislacyjnych oraz działalności Kancelarii.

czytaj więcej

Administratorem Twoich danych osobowych jest KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. Twoje dane będą przetwarzane w celu wysyłki naszego newslettera. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.

Kontakt

KWKR Konieczny Wierzbicki i Partnerzy S.K.A.
Strona jest chroniona przez Google reCAPTCHA v2. Więcej informacji o Google reCAPTCHA znajduje się w polityce prywatności i warunkach świadczenia usług.

Administratorem Twoich danych osobowych jest
KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. NIP: 9452181482 REGON: 123240424
Przetwarzamy Twoje dane wyłącznie w celu udzielenia odpowiedzi na wiadomość przesłaną przez formularz kontaktowy i dalszej komunikacji (co stanowi nasz prawnie uzasadniony interes) – przez czas nie dłuższy niż konieczny do udzielenia Ci odpowiedzi, a potem przez okres przedawnienia ewentualnych roszczeń. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.
Warszawa

Rondo ONZ 1,

00-124 Warszawa,

+48 12 3957161

kontakt@kwkr.pl

Chcesz być na bieżąco? Zapisz się do naszego newslettera

Zapisując się do naszego newslettera wyrażasz zgodę na przesyłanie drogą e-mail informacji na temat istotnych wydarzeń z dziedziny prawa, zmian legislacyjnych oraz działalności Kancelarii.

czytaj więcej

Administratorem Twoich danych osobowych jest KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. Twoje dane będą przetwarzane w celu wysyłki naszego newslettera. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.

 

Do you want to be up to date? Sign up for our newsletter

By subscribing to our newsletter, you consent to the sending of information by e-mail on important events in the field of law, legislative changes and the activities of the Law Firm.

read more

The administrator of your personal data is KWKR Konieczny Wierzbicki i Partnerzy S.K.A. with headquarters in Krakow, ul. Kącik 4, 30-549 Krakow. Your data will be processed for the purpose of sending our newsletter. You have the right to request access to your personal data, their copies, rectification, deletion or limitation of processing, as well as the right to object to the processing and to lodge a complaint with the supervisory authority. More details can be found in our Privacy Policy.