CZY DOCHODZI DO POWIERZENIA DANYCH OSOBOWYCH PRZEZ BANK SPÓŁDZIELCZY?

CZY DOCHODZI DO POWIERZENIA DANYCH OSOBOWYCH PRZEZ BANK SPÓŁDZIELCZY
CZY DOCHODZI DO POWIERZENIA DANYCH OSOBOWYCH PRZEZ BANK SPÓŁDZIELCZY

W trakcie czynności Audytowych weryfikujemy zawarte przez Bank umowy powierzenia, te w których Bank jest Administratorem danych, ale też takie, w których występuje w roli podmiotu przetwarzającego.

Czy Bank przekazując dane do zewnętrznego podmiotu zawsze powinien zawrzeć umowę powierzenia?

Czy wskazując dane do kontaktu w celu realizacji umowy współpracy faktycznie powierzamy dane osobowe?

Europejska Rada Ochrony Danych na 51. posiedzeniu przyjęła po konsultacjach społecznych Wytyczne 7/2020 w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO. Wytyczne składają się z dwóch części. W pierwszej znajdziemy objaśnienia kluczowych pojęć dla zarządzania ochroną danych osobowych, tj. „administratora”, „współadministratora”, „podmiotu przetwarzającego”, i „strony trzeciej”, a w drugiej opis i konsekwencje przypisania poszczególnej roli w operacjach przetwarzania danych osobowych. Aby ustalić rodzaj relacji pomiędzy podmiotami należy w pierwszej kolejności stworzyć mapę procesów przetwarzania danych, ustalić ich źródła pochodzenia, a także ich przepływ do innych podmiotów. Dzięki temu łatwiej będziemy mogli ustalić kto faktycznie podejmuje decyzje dotyczące celów i sposobów przetwarzania danych osobowych. Nie zapominajmy jednak, że pomimo ciążącym na Administratorze obowiązku ustalenia niezbędnych środków (Essential means), czyli takich, które są ściśle powiązane z celem i zakresem przetwarzania to podmiot przetwarzający może podjąć decyzję w sprawie wyboru środki inne niż niezbędne (Non-essential means), dotyczących praktycznych aspektów związanych z przetwarzaniem, takich jak wybór konkretnego rodzaju sprzętu czy oprogramowania lub szczegółowe środki bezpieczeństwa.

Podmiot, któremu Bank zamierza powierzyć przetwarzanie danych osobowych powinien zostać wybrany na podstawie przeprowadzonej oceny spełnienia wymagań określonych nie tylko w RODO, ale również w wewnętrznych procedurach Administratora określających minimalne środki techniczne i organizacyjne dotyczące bezpieczeństwa przetwarzania danych osobowych.

Zawarta umowa powierzenia przetwarzania danych osobowych z wybranym podmiotem przetwarzającym powinna zawierać co najmniej elementy określone w art. 28 RODO.

 

Zapraszamy do zapoznania się z naszym wpisem dotyczącym analizy podmiotu przetwarzającego:

https://premiumbank.zadbajobezpieczenstwo.pl/powierzenie-przetwarzania-danych-osobowych-czy-warto-weryfikowac-podmioty-zewnetrzne/

Wytyczne EROD 7/2020 w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO zamieszczone są na stronie: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2020/guidelines-072020-concepts-controller-and_en.

Zapraszamy do skorzystania ze szkoleń dedykowanych dla Banków Spółdzielczych:

https://edu.servus-comp.pl/pl/858-szkolenia-on-line

Zapraszamy do kontaktu. Chętnie odpowiemy na każde pytanie.

Servus Comp Data Security, Świętokrzyska 12/403  30-015 Kraków  
tel.  +48 608 407 668, +48 12 631 91 22   biuro@servus-comp.pl
PODEJMIEMY DLA PAŃSTWA KAŻDE WYZWANIE!

JESTEŚ ZAINTERESOWANY? ZADZWOŃ, NAPISZ DO NAS

Dodaj komentarz