1. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie
spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób,
których dane dotyczą.
2. Podmiot przetwarzający nie korzysta z usług innego podmiotu
przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej
zgody administratora. W przypadku ogólnej pisemnej zgody podmiot
przetwarzający informuje administratora o wszelkich zamierzonych
zmianach dotyczących dodania lub zastąpienia innych podmiotów
przetwarzających, dając tym samym administratorowi możliwość
wyrażenia sprzeciwu wobec takich zmian.
3. Przetwarzanie przez podmiot przetwarzający odbywa się na
podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot
przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią
w szczególności, że podmiot przetwarzający:
a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych
osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii
lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora
o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania
tajemnicy;
c) podejmuje wszelkie środki wymagane na mocy art. 32;
d) przestrzega warunków korzystania z usług innego podmiotu
przetwarzającego, o których mowa w ust. 2 i 4;
e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości
pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na
żądania osoby, której dane dotyczą, w zakresie wykonywania jej
praw określonych w rozdziale III;
f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków
określonych w art. 32–36;
g) po zakończeniu świadczenia usług związanych z przetwarzaniem
zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują
przechowywanie danych osobowych;
h) udostępnia administratorowi wszelkie informacje niezbędne do
wykazania spełnienia obowiązków określonych w niniejszym
artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów,
w tym inspekcji, i przyczynia się do nich.
W związku z obowiązkiem określonym w akapicie pierwszym
lit. h) podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie
niniejszego rozporządzenia lub innych przepisów Unii lub państwa
członkowskiego o ochronie danych.
4. Jeżeli do wykonania w imieniu administratora konkretnych
czynności przetwarzania podmiot przetwarzający korzysta z usług
innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego
– te same obowiązki ochrony danych jak w umowie lub innym akcie
prawnym między administratorem a podmiotem przetwarzającym,
o których to obowiązkach mowa w ust. 3, w szczególności obowiązek
zapewnienia wystarczających gwarancji wdrożenia odpowiednich
środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia. Jeżeli ten inny podmiot
przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora
za wypełnienie obowiązków tego innego podmiotu przetwarzającego
spoczywa na pierwotnym podmiocie przetwarzającym.
5. Wystarczające gwarancje, o których mowa w ust. 1 i 4 niniejszego artykułu, podmiot przetwarzający może wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania,
o którym mowa w art. 40 lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42.
6. Bez uszczerbku dla indywidualnych umów między administratorem a podmiotem przetwarzającym, umowa lub inny akt prawny, o których mowa w ust. 3 i 4 niniejszego artykułu, mogą się opierać w całości lub w części na standardowych klauzulach umownych,
o których mowa w ust. 7 i 8 niniejszego artykułu, także gdy są one
elementem certyfikacji udzielonej administratorowi lub podmiotowi
przetwarzającemu zgodnie z art. 42 i 43.
7. Komisja może określić standardowe klauzule umowne dotyczące kwestii, o których mowa w ust. 3 i 4 niniejszego artykułu, zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2.
8. Organ nadzorczy może przyjąć standardowe klauzule umowne dotyczące kwestii, o których mowa w ust. 3 i 4 niniejszego artykułu, zgodnie z mechanizmem spójności, o którym mowa w art. 63.
9
*
Umowa lub inny akt prawny, o których mowa w ust. 3 i 4,
mają formę pisemną, w tym formę elektroniczną.
10. Bez uszczerbku dla art. 82, 83 i 84, jeżeli podmiot przetwarzający naruszy niniejsze rozporządzenie przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do
tego przetwarzania.
*
Artykuł 28 ust. 9 zmieniony sprostowaniem z dnia 23.05.2018 r. (Dz.Urz. UE L
z 2018 r., Nr 127, poz. 2), które wchodzi w życie 23.05.2018 r.
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).
Odbierz bezpłatny pakiet 4 poradnikówi 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>
Potwierdź swój adres e-mail
Wysłaliśmy do Ciebie wiadomość.
Tylko jedno kliknięcie dzieli Cię od bezpłatnego pakietu
poradników i szkoleń. Potwierdź swój adres e-mail klikając
w link, który znajdziesz w wiadomości od ODO 24.
Jeżeli e-mail do Ciebie nie dotrze - sprawdź w folderze SPAM. Aby w
przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij
prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość
pożądaną”).
Zamknij
Szukaj w ODO24.pl
Zapisz się na biuletyn ODO 24
Każdy czytelnik naszego biuletunu
otrzymuje pakiet 4 bezpłatnych
poradników i 4 mikroszkoleń RODO.
Biuletyn z nowościami z obszaru ochrony danych osobowych
i bezpieczeństwa informacji wysyłamy raz w miesiącu.
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812)
przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny
na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu
przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w
Polityce prywatności.
Potwierdź swój adres e-mail
Wysłaliśmy do Ciebie wiadomość.
Tylko jedno kliknięcie dzieli Cię od bezpłatnego pakietu
poradników i szkoleń. Potwierdź swój adres e-mail klikając
w link, który znajdziesz w wiadomości od ODO 24.
Jeżeli e-mail do Ciebie nie dotrze - sprawdź w folderze SPAM. Aby w
przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij
prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość
pożądaną”).