REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Moja firma » Prawo » RODO w firmie » RODO: obowiązek weryfikacji procesora a lista kontrolna

RODO: obowiązek weryfikacji procesora a lista kontrolna

Subskrybuj nas na Youtube
21 stycznia 2019, 12:32
RODO: obowiązek weryfikacji procesora a lista kontrolna / Shutterstock
RODO: obowiązek weryfikacji procesora a lista kontrolna / Shutterstock

REKLAMA

REKLAMA

Korzystanie z usług podwykonawców może rodzić obowiązek powierzenia przetwarzania danych osobowych firmie zewnętrznej (staje się ona wtedy procesorem). Należy w tym celu zawrzeć odpowiednią umowę. Ponadto, administrator ma prawo skontrolować swoich procesorów co do odpowiedniego bezpieczeństwa przetwarzanych przez nich danych.

Obowiązki procesora w rękach administratora

Procesor to osoba fizyczna lub prawna, która przetwarza dane osobowe i działa jedynie na zlecenie administratora, będącego podmiotem decydującym w kwestii celów oraz sposobów wykorzystywania i przetwarzania danych osobowych. Działanie związane z powierzeniem ich przetwarzania jest obecnie powszechne, ponieważ często naturalnym elementem obrotu gospodarczego jest korzystanie z tzw. usług outsourcingowych, związanych nierozerwalnie z czynnościami dokonywanymi na danych osobowych. Zanim jednak dojdzie do współpracy, jej zasady powinny zostać uregulowane w ramach odpowiedniej umowy.

REKLAMA

REKLAMA

W szczególny sposób należy zadbać o kwestię weryfikacji działań oraz pracy podmiotu przetwarzającego, co stanowi obowiązek administratora wynikający z przepisów RODO. Pomocny w tym zakresie może być art. 28 ust. 3 lit. h RODO, w myśl którego administrator powinien mieć dostęp do wszelkich informacji niezbędnych w zakresie spełnienia obowiązków wynikających z RODO, a stanowiących o bezpieczeństwie przetwarzania. Zgodnie z przywołanym przepisem może on również przeprowadzić audyt podmiotu przetwarzającego dane.

Podwykonawca zobowiązany jest do zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniło wymagania rozporządzenia i chroniło prawa osób, których dane dotyczą. Co istotne, administrator może korzystać tylko i wyłącznie z podmiotów świadczących usługi dające takie gwarancje – wyjaśnia adw. Łukasz Pociecha, ekspert ds. ochrony danych osobowych, ODO 24.

Polecamy: Kodeks pracy 2019 - komentarz

Lista kontrolna jako alternatywa dla audytu procesora

REKLAMA

Audyt jest narzędziem weryfikacji, które niewątpliwie umożliwia administratorowi obiektywną i niezależną ocenę funkcjonowania zewnętrznej firmy pod kątem spełnienia obowiązku prawnego w zakresie zapewnienia ochrony danych osobowych. Podczas kontroli analizie może zostać poddana m.in. kwestia posiadana dokumentacji w zakresie ochrony danych osobowych oraz wdrożenia skutecznych zabezpieczeń techniczno-organizacyjny w zapewniających ochronę danych.. Istnieją jednak alternatywne środki weryfikacji podmiotu przetwarzającego.

Dalszy ciąg materiału pod wideo

Administratorzy mogą przeprowadzić inspekcję działań procesora także za pomocą tzw. listy kontrolnej. Treść tego narzędzia musi być jednak na tyle precyzyjna, aby pozwalała administratorowi na uzyskanie szczegółowych informacji w zakresie stosowanych przez podmiot przetwarzający środków technicznych i organizacyjnych, które zapewnić maja zgodność z przepisami RODO oraz bezpieczeństwo przetwarzanych danych osobowych – wskazuje adw. Łukasz Pociecha, ekspert ds. ochrony danych osobowych, ODO 24.

W liście kontrolnej powinny być przewidziane miejsca zarówno na uwagi do zawartych w dokumencie pytań administratora, jak i oceny poszczególnych środków zapewniających bezpieczeństwo przetwarzania danych według ustalonych kryteriów przyjętych w procedurze weryfikacji podmiotu przetwarzającego (np. zgodność/częściowa zgodność/niezgodność). Przeprowadzenie weryfikacji podmiotu przetwarzającego, z uwzględnieniem opisanej listy kontrolnej, pozwala na okazanie konkretnego dowodu świadczącego o wyborze podmiotu przetwarzającego z uwzględnieniem obowiązku opisanego w art. 28 ust. 1 RODO.

Źródło: Odo24

Zobacz: RODO w firmie

Powiązane
Dwa organy i dwie różne interpretacje dotyczące przetwarzania danych osobowych pracowników
Dwa organy i dwie różne interpretacje dotyczące przetwarzania danych osobowych pracowników
RODO - objaśnienia dla przedsiębiorców
RODO - objaśnienia dla przedsiębiorców
Brexit 2019 a RODO
Brexit 2019 a RODO
Zapisz się na newsletter
Zakładasz firmę? A może ją rozwijasz? Chcesz jak najbardziej efektywnie prowadzić swój biznes? Z naszym newsletterem będziesz zawsze na bieżąco.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

REKLAMA

Moja firma
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Mała firma, duże ryzyko. Dlaczego system ochrony to dziś inwestycja, nie koszt [WYWIAD]
12 maja 2025

Choć wielu właścicieli małych firm wciąż traktuje ochronę jako zbędny wydatek, rosnąca liczba incydentów – zarówno fizycznych, jak i cyfrowych – pokazuje, że to podejście bywa kosztowne. Dziś zagrożeniem może być nie tylko włamanie, ale też wyciek danych czy przestój operacyjny. W rozmowie z Adamem Śliwińskim, wiceprezesem Seris Konsalnet Security, sprawdzamy, jak MŚP mogą skutecznie zadbać o swoje bezpieczeństwo – bez milionowych budżetów, za to z myśleniem przyszłościowym.
Polskie firmy chcą eksportować do USA, co z cłami
12 maja 2025

Polska gospodarka łapie drugi oddech czy walczy o utrzymanie na powierzchni? Jaka będzie przyszłość eksportu do USA? Eksperci podsumowali pierwszy kwartał 2025. Analizie poddany został nie tylko eksport polskich firm, ale i ogólny bilans handlu zagranicznego.
Teraz płatności odroczone także przy zakupach dla firmy
12 maja 2025

Polskie firmy uzyskują dostęp do płatności odroczonych oraz ratalnych w standardzie zbliżonym do tego oferowanego konsumentom. To duże ułatwienie, z którego skorzystają w pierwszej kolejności małe i średnie firmy.
Termin składania wniosków o dopłaty bezpośrednie 2025
09 maja 2025

Jaki jest termin składania wniosków do ARIMR o dopłaty bezpośrednie w 2025 roku? Czy można złożyć dokumenty po terminie? Co z załącznikami?

REKLAMA

Co każdy prezes (CEO) powinien dziś wiedzieć o technologii?
09 maja 2025

Każda szkoła zarządzania mówi: deleguj odpowiedzialność. Niezależnie czy mówimy o MŚP czy dużej organizacji, zarządzanie technologią powinno więc być oddane w ręce tych, którzy się na niej znają. Z drugiej strony – jeśli mamy wyprzedzić konkurencję, trzeba inwestować i lewarować biznes przez technologię. Żeby robić to efektywnie, kadra zarządzająca musi rozumieć przynajmniej część świata IT. Problem w tym, że świat technologii jest tak przeładowany informacjami, że często nawet eksperci od IT się w nim gubią. Co warto rozumieć? Jak głęboko wchodzić w poszczególne zagadnienia? Jak rozmawiać z zespołem, który zasypuje wieloma szczegółami? Oto krótki, praktyczny przewodnik.
Działania marketingowe jako kompatybilny element Public Relations
09 maja 2025

Współczesna komunikacja biznesowa coraz częściej wymaga synergicznego podejścia do działań promocyjnych i wizerunkowych. Marketing i Public Relations (PR), choć wywodzą się z różnych tradycji i pełnią odmienne funkcje, dziś coraz częściej przenikają się i wspólnie pracują na sukces marki. W dobie mediów społecznościowych, globalizacji i błyskawicznego obiegu informacji działania marketingowe stają się kompatybilnym, a nierzadko wręcz niezbędnym elementem strategii PR.
Branża wydawnicza. Czy na wydawaniu i sprzedaży książek da się wciąż zarobić
09 maja 2025

Tylko czterech na dziesięciu Polaków przeczytało w ubiegłym roku przynajmniej jedną książkę. Choć wynik ten jest nieco niższy niż rok wcześniej, wciąż należy do najlepszych w ostatniej dekadzie. Co to oznacza dla branży wydawniczej, czy na wydawaniu i sprzedaży książek daje się wciąż zarobić?
Pijemy mniej piwa, przez co browary nie płacą na czas swoim dostawcom
09 maja 2025

Na kondycję branży piwowarskiej, poza spadającym w wyniku zmian kulturowych popytem, najmocniej wpływają dziś rosnące koszty operacyjne oraz zmiany w podatku akcyzowym. Polacy piją mniej piwa, browary mają coraz większe kłopoty.

REKLAMA

Świadczenia pozapłacowe są dziś standardem w sektorze MŚP
08 maja 2025

Blisko połowa firm z sektora MŚP przy wyborze benefitów kieruje się przede wszystkim ceną, a niemal tyle samo uwzględnia potrzeby i oczekiwania pracowników – wynika z badania Instytutu Keralla Research dla VanityStyle. Jakie inne czynniki wpływają na decyzje pracodawców w tym zakresie?
Hotele mocno podniosły ceny usług, ale i tak muszą ciąć koszty i redukować długi. Czy pomoże im lepszy niż zwykle sezon turystyczny
08 maja 2025

Hotele i inne firmy świadczące usługi noclegowe wchodzą w sezon majówkowy 2025 z wysoką niepewnością i rosnącym obciążeniem finansowym. Choć dane dotyczące aktywności turystycznej Polaków pozwalały dotąd patrzeć na przyszłość z umiarkowanym optymizmem, rzeczywistość finansowa branży rysuje się znacznie mniej korzystnie.

REKLAMA