Standardowe klauzule umowne w zakresie powierzenia przetwarzania danych wskazują, że
„W przypadku naruszenia ochrony danych osobowych podmiot przetwarzający współpracuje z administratorem i pomaga mu w wypełnianiu jego obowiązków wynikających z art. 33 i 34 rozporządzenia (UE) 2016/679 z uwzględnieniem charakteru przetwarzania i informacji, którymi dysponuje podmiot przetwarzający” (klauzula nr 9). Sprawdź, czego powinien dotyczyć ten zapis w umowie powierzenia przetwarzania danych.
Klauzula nr 9 dotyczy zgłaszania naruszenia ochrony danych osobowych w dwóch odrębnych przypadkach, tj. gdy naruszenia dopuścił się:
administrator albo
podmiot przetwarzający.
Pod numerem 9.2 odnoszącym się do tego drugiego przypadku wskazano, że strony określają w załączniku III wszystkie inne elementy, które ma przedstawić podmiot przetwarzający. Dotyczy to wspomagania administratora w wypełnianiu jego obowiązków określonych w art. 33 i 34 RODO.
W umowie powierzenia należy zatem szczegółowo opisać środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych. To, czy i jakie środki zabezpieczające przetwarzanie danych powinien wdrożyć administrator danych (ew. procesor) reguluje art. 24 RODO. Zgodnie z tym przepisem: „uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”.
Należy samodzielnie ocenić czy i jakie środki powinny być podjęte, w szczególności znając specyfikę środowiska pracy i warunki w jakich dane osobowe mogą być zabezpieczone w konkretnej lokalizacji.
W załączniku nr III umowy należy ująć także procesora, co zresztą wynika także z jego treści in fine.
„W przypadku przekazywania danych podmiotom przetwarzającym lub podprzetwarzającym należy również opisać konkretne środki techniczne i organizacyjne, jakie powinien zastosować podmiot przetwarzający lub podprzetwarzający, aby móc udzielić pomocy administratorowi.”
rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L nr 119, str. 1) – art. 28, art. 33, art. 44-49.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
