Administrator danych osobowych, który przekazuje je do przetwarzania jakiemuś podmiotowi (procesorowi), musi mieć z nim zawartą umowę powierzenia przetwarzania danych osobowych. Już niedługo do dużej części tych umów będzie trzeba wprowadzić aneks. W maju wchodzi bowiem w życie Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO).
– Zawarte dotychczas umowy powierzenia przetwarzania danych osobowych w większości przypadków będą musiały być aneksowane. Wynika to z tego, że obecny stan prawny tak naprawdę określa tylko i wyłącznie cel przetwarzania, zakres danych osobowych, które mają być przetwarzane, oraz warunki porozumienia pomiędzy procesorem […] a administratorem. Natomiast zgodnie z przepisami RODO zakres rzeczy, które muszą być uregulowane w treści umowy powierzenia przetwarzania danych osobowych, jest dużo szerszy – mówi w wywiadzie dla agencji informacyjnej infoWire.pl Magdalena Kot, radca prawny z kancelarii LAWMORE.
Warto wiedzieć, że zgodnie z RODO procesor – pod warunkiem uzyskania pisemnej zgody administratora – będzie mógł powierzać przetwarzane dane kolejnym podmiotom (podprocesorom). To, którym podprocesorom będzie mu wolno te dane przekazywać, będzie można określić w umowie między administratorem a procesorem. Nie będzie to jednak koniecznością – w takim przypadku administrator da procesorowi wolną rękę w doborze podprocesorów. Co ważne, przy każdorazowym podpowierzeniu danych administrator będzie musiał zostać poinformowany o podprocesorze, przeprowadzanych przez niego czynnościach oraz gwarancjach co do tego, że przetwarzane przez niego dane są bezpieczne.