RODO Informator luty 2020r.

26 II 2020 r.
ODO 24
Zasady ochrony danych      
                     to każdy wiedzieć powinien

Gdy zewnętrzny podmiot ma dostęp
do danych, za które odpowiadasz

Pozyskane przez firmę dane nie są przetwarzane w szklanej bańce. Co prawda najczęściej zbiera je administrator danych, aby móc je przetwarzać we własnych celach, jednak przy okazji realizacji tych celów inne podmioty mogą mieć styczność z danymi, które są „własnością” administratora.

Kto ma dostęp do danych?

Podmioty mające dostęp do danych możemy podzielić na:

  • podmioty przetwarzające dane w imieniu administratora (procesorzy), na podstawie zawartej umowy powierzenia przetwarzania danych,
  • odbiorców danych, czyli podmioty, którym ujawnia się dane osobowe – jest to krąg szerszy, obejmujący również podmioty przetwarzające,
  • strony trzecie, czyli wszelkie podmioty inne niż: osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe. Są to podmioty, które nie mają żadnego konkretnego umocowania prawnego ani upoważnienia do przetwarzania danych osobowych.
    • Better safe than sorry, czyli sprawdzamy podmiot przetwarzający, zanim przekażemy mu dane

      Najczęściej będziemy mieli do czynienia z sytuacją, w której inny podmiot przetwarza dane w naszym – jako administratora – imieniu (np. firma dostarczająca rozwiązania chmurowe czy wykonująca na nasze zlecenie działania marketingowe). Zanim powierzymy takim podmiotom dane, musimy się upewnić, że będą one przetwarzane zgodnie ze sztuką.

      Jednym ze sposobów sprawdzenia procesora jest wykazanie przez niego stosowania zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji, o których mowa w RODO. s Ponieważ jednak obecnie w Polsce wskazane mechanizmy nie są rozwinięte, przed nawiązaniem współpracy z podmiotem przetwarzającym najlepiej wysłać do niego ankietę bezpieczeństwa, w której zadamy szereg pytań o stosowane procedury i zabezpieczenia techniczne.

      Wzór takiej ankiety udostępniamy na blogu: „Lista kontrolna – udostępniamy formularz”.

      Jeszcze innym, ale bardziej czasochłonnym (a dodatkowo kosztownym) i przeznaczonym raczej dla „dużych graczy” sposobem sprawdzenia potencjalnego podmiotu przetwarzającego jest przeprowadzenie audytu.

      Kiedy już zaufamy potencjalnemu podmiotowi przetwarzającemu

      Gdy przekonamy się, że potencjalny podmiot przetwarzający jest godny naszego zaufania, możemy zawrzeć z nim umowę powierzenia przetwarzania danych. Jest ona konieczna do powierzenia danych. Musi właściwie regulować prawa i obowiązki obu stron stosunku powierzenia.

      Taka umowa wiąże podmiot przetwarzający z administratorem oraz określa:

      • przedmiot przetwarzania,
      • czas trwania przetwarzania,
      • charakter i cele przetwarzania,
      • rodzaj danych osobowych i kategorie osób, których dane dotyczą,
      • obowiązki i prawa administratora.

      Więcej na temat szczegółowych kwestii, które powinny być uregulowane w umowie, oraz gotowy wzór takiej umowy znajdziesz na naszym blogu. W sytuacji gdy procesor znajduje się poza Europejskim Obszarem Gospodarczym, można skorzystać ze standardowych klauzul umownych.

      Jeśli nie powierzenie, to co?

      Wspomniani wyżej odbiorcy, niebędący jednocześnie podmiotami przetwarzającymi, najczęściej będą po prostu odrębnymi administratorami, którzy uzyskują legalny dostęp do danych osobowych zgromadzonych przez administratora (np. biegli rewidenci, adwokaci). Dostęp wskazanych podmiotów do danych wynika z innych tytułów niż umowa powierzenia przetwarzania (np. umowa o współpracy), a podstawą prawną udostępnienia może być np. realizacja prawnie uzasadnionego interesu administratora, w postaci dochodzenia lub obrony roszczeń.

       

ODO 24 sp. z o.o.
ul. Kamionkowska 45, 03-812 Warszawa
tel. 22 740 99 00

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz "Oznacz jako wiadomość pożądaną").
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>