Nie. Procesor nie ma bowiem bezwzględnego obowiązku stosowania norm ISO.
Czytając odpowiedź naszego eksperta, dowiesz się:
- na czym polega audyt przeprowadzany przez ADO u procesora,
- czy ADO może zobligować procesora do stosowania norm ISO,
- czy w każdym przypadku ADO może przeprowadzać kontrolę stosowania norm ISO.
Powierzenie przetwarzania danych osobowych to jeden z dwóch, obok udostępnienia, sposobów uprawnienia innego podmiotu do przetwarzania danych osobowych znajdujących się w posiadaniu konkretnego administratora danych. Podmiot, któremu dane te zostały powierzone przez osoby fizyczne, może przekazać dane osobowe innemu podmiotowi. Powierzenie przetwarzania danych osobowych pozwala w łatwy i szybki sposób uprawnić do przetwarzania danych osobowych podmioty, które normalnie nie mogłyby tego robić Podmiot, któremu dane zostały powierzone do przetwarzania (Firma Y), jest nazywany procesorem lub podmiotem przetwarzającym.
Umowa o powierzeniu przetwarzania danych osobowych powinna być zawarta w formie pisemnej lub elektronicznej. W treści umowy zawsze trzeba wskazać przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora oraz pozostałe kwestie wyliczone w art. 28 ust. 3 RODO.
Wśród tych kwestii art. 28 ust. 3 lit. h RODO wymienia udostępnianie administratorowi przez podmiot przetwarzający wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. Wynika z tego, że ADO ma prawo prowadzić audyt i wykazywać procesorowi nieprawidłowości w przetwarzaniu danych osobowych.
Inną kwestią jest stosowanie norm ISO. Zgodnie z art. 28 ust. 1 RODO administrator ma korzystać wyłącznie z takich usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Ocena ta powinna być dokonywana przez ADO przed zawarciem umowy powierzenia. Wówczas też procesor informuje ADO czy i jakie normy ISO stosuje w odniesieniu do ochrony danych osobowych. Jeżeli procesor poinformował, że stosuje daną normę to w mojej ocenie ADO ma prawo na podstawie art. 28 ust. 3 lit. h „odpytać” procesora o to, czy i dlaczego nie wdrożył normy w danym zakresie. Podmioty przetwarzające zasadniczo nie mają jednak obowiązku stosowania norm ISO, a ich wdrażanie stanowi tylko jeden ze sposobów na dojście do stanu zgodności z RODO.
Normy ISO nie są żadnym wystarczającym sposobem na zapewnienie zgodności przetwarzania danych osobowych w danej organizacji z ogólnym rozporządzeniem o ochronie danych.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
