ZADANIA PODMIOTU PRZETWARZAJĄCEGO

Rolę i zadania podmiotu przetwarzającego, którym jest podmiot, któremu administrator powierzył dane osobowe aby przetwarzał je w celu określonym przez administratora definiuje rozporządzenie o ochronie danych osobowych. Podmiot przetwarzający ” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora”.

Jeżeli Administrator dokonuje przetwarzania danych osobowych korzystając z usług podmiotu przetwarzającego, podmiot ten powinien zapewnić odpowiednie środki organizacyjne i techniczne aby przetwarzanie spełniało wymogi rozporządzenia o ochronie danych osobowych. Podmiot przetwarzający nie może dalej podpowierzyć danych osobowych bez uprzedniej pisemnej zgody administratora danych. W każdej sytuacji kiedy następuje zmiana w obszarze podpowierzenia danych decyzja taka wymaga wcześniejszej zgody administratora. Przetwarzanie danych przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego. Przetwarzanie przez podmiot przetwarzający, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Podmiot przetwarzający przetwarza dane wyłącznie na polecenie administratora, zapewnia aby wszystkie osoby przetwarzające dane osobowe zostały upoważnione oraz zobowiązuje je do zachowania tajemnicy. Spełnia wymogi określone przez art. 32 RODO dotyczący bezpieczeństwa przetwarzania. Pomaga administratorowi wywiązać się z obowiązków nałożonych na niego przez art. 32-36 RODO. Po zakończeniu trwania umowy, a więc po zakończeniu przetwarzania podmiot przetwarzający zobowiązany jest zwrócić bądź usunąć wszelkie dane osobowe, które przetwarzał w imieniu administratora, chyba że prawo unii bądź prawo państwa członkowskiego stanowi inaczej. Ponadto umożliwia administratorowi oraz każdemu upoważnionemu przez niego audytorowi przeprowadzenia audytu. Podmiot przetwarzający zobowiązany jest również do prowadzenia rejestru kategorii czynności przetwarzania i zobowiązany jest do niezwłocznego poinformowania administratora w przypadku naruszenia bezpieczeństwa danych osobowych.

 

Podstawa prawna:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1);