Tak, ponieważ inspektora ochrony danych należy traktować jako podmiot przetwarzający dane w imieniu administratora.
W pierwszej kolejności należy ustalić podział ról w systemie ochrony danych osobowych – kim jest administrator danych osobowych, a kim jest osoba upoważniona do przetwarzania danych osobowych. Otóż zgodnie z art. 4 pkt 7 RODO administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. W opisanym przypadku administratorem danych będzie więc podmiot, który zbiera dane osobowe i decyduje o celach i środkach przetwarzania tych danych.
Kiedy w ogóle dochodzi do przetwarzania danych osobowych? Przetwarzaniem są jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych (art. 4 pkt 2 RODO). Tak szeroka definicja przetwarzania danych oznacza w praktyce, że administrator danych zawsze musi udostępnić dane osobowe poprzez zawarcie umowy powierzenia przetwarzania danych osobowych albo też upoważnić do przetwarzania danych osobowych konkretne osoby pozostające w strukturach tego administratora danych osobowych.
Wybór pomiędzy powierzeniem przetwarzania danych osobowych a upoważnieniem do ich przetwarzania sprowadza się do tego, czy administrator danych osobowych chce umożliwić ich przetwarzanie:
Powierzenie przetwarzania danych osobowych ma więc na celu uprawnienie innego podmiotu do przetwarzania danych osobowych znajdujących się w posiadaniu danego administratora danych osobowych. Powierzenie przetwarzania danych osobowych pozwala w stosunkowo prosty sposób uprawnić do przetwarzania danych osobowych podmioty, które normalnie nie mogłyby tego robić.
Należy więc mieć świadomość tego, że zawarcie takiej umowy jest niezbędne zawsze gdy ma dojść do przekazania innemu podmiotowi danych osobowych innych osób. Z taką właśnie sytuacją mamy do czynienia w przypadku przetwarzania danych osobowych przez zewnętrznego inspektora ochrony danych (tj. zatrudnionego na podstawie wskazanego umowy zlecenia). Nie ma tu żadnego wyjątku przewidzianego w RODO – skoro odrębny podmiot mający zamiar świadczyć usługi IOD będzie miał dostęp do danych osobowych to musi mieć ku temu podstawę prawną, którą będzie stanowiła umowa powierzenia przetwarzania danych osobowych.
Umowa o powierzeniu przetwarzania danych osobowych powinna być zawarta w formie pisemnej. W treści umowy zawsze trzeba wskazać zakres oraz cel powierzenia przetwarzania. Warto pamiętać, że administrator danych osobowych może powierzyć przetwarzanie danych osobowych podmiotowi trzeciemu bez zgody osoby, której dane są powierzane (art. 28 RODO).
Jeżeli nie zawarto umowy powierzenia przetwarzania z IOD a mimo to doszło do przekazania danych osobowych to administrator danych może się narazić na zarzut przekazania danych osobie nieuprawnionej i wynikającą z tego faktu odpowiedzialność.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl