RODO – implementacja rozporządzenia

Współpraca z administratorem danych 

W  wypadku, gdy część procesu odbywa się poza podmiotem, który jest administratorem danych osobowych, należy zadbać, aby firma, która dostarcza np. system informatyczny przetwarzający dane osobowe (lub komponenty tego systemu), dostarczyła również prawnie wiążące zapewnienie, że  system ten zaprojektowano, uwzględniając wspomniane zasady. To  samo dotyczy relacji z  firmą, która przygotowuje środowisko do  ciągłej eksploatacji systemu, gdzie przetwarzane będą dane osobowe, dla których pełnimy rolę administratora.

W  wypadku, gdy instytucja lub firma zamierza powierzyć takie dane innemu podmiotowi (taki podmiot staje się wówczas procesorem), należy zapewnić warunki określone w  art. 28 rozporządzenia. W  szczególności należy zweryfikować zdolność podmiotu do  właściwego pełnienia roli procesora, do  tej pory takiego warunku w  samej ustawie o  ochronie danych osobowych (art. 31) nie było, aczkolwiek w  odniesieniu do  podmiotów, które mogły pełnić rolę procesora dla podmiotów medycznych wskazano w  niektórych przypadkach takie warunki w  tzw. dużej nowelizacji ustawy o  informacji w  ochronie zdrowia, jaką przeprowadzono pod koniec 2015 roku3. Rozważając elementy, jakie trzeba wziąć pod uwagę, można wskazać:

• Umowę lub inną formę prawną – tu  art. 28  ust. 3 i  ust. 9  wskazuje, że  w  wypadku umowy pomiędzy administratorem danych osobowych a  procesorem, umowa ta  powinna mieć formę pisemną lub elektroniczną. Budzi to  pewne wątpliwości na  gruncie prawa polskiego, czy ma  to  być forma elektroniczna, zrównana w  KC  z  formą pisemną (wtedy obligatoryjne jest użycie kwalifikowanego podpisu elektronicznego [...]

Ten materiał dostępny jest dla zalogowanych użytkowników.

Bezpłatnie załóż konto i dołącz do grona użytkowników naszego portalu!

Zaloguj się Zarejestruj się

Chcesz mieć dostęp do wszystkich materiałów na portalu?

Wybierz subskrypcję