Temat: Umowa powierzenia przetwarzania - Procesor

Cześć, chciałabym spytać o umowę powierzenia przetwarzania z punktu widzenia procesora - czy powinien zabiegać o jej przetwarzanie? Jakie są możliwe konsekwencje wobec Procesora w przypadku braku takiej umowy? W mojej opinii Procesor może powołać się na umowę główną jako podstawę przetwarzania a pozostałe konsekwencje będą wyciągane wobec administratora.

Temat: Umowa powierzenia przetwarzania - Procesor

Art. 28 ust. 3 Rodo.

Temat: Umowa powierzenia przetwarzania - Procesor

> W mojej opinii Procesor może

powołać się na umowę główną jako podstawę przetwarzania a pozostałe konsekwencje będą wyciągane wobec administratora.

Nie może. Zgodnie z art. 28 administrator nie może korzystać z usług firm, które nie gwarantują wystarczających gwarancji bezpieczeństwa... Jeśli procesor nie chce podpisać umowy powierzenia, to wszystkim moim klientom nakazuję (!) poszukanie innego dostawcy usług. A toczę obecnie boje z dużymi firmami ubezpieczeniowymi i chyba poruszyłem jakąś lawinę :)

Pozdr. M

Temat: Umowa powierzenia przetwarzania - Procesor

Michał S.:

W mojej opinii Procesor może powołać się na umowę główną jako podstawę przetwarzania a pozostałe konsekwencje będą wyciągane wobec administratora.

Rozumiem, że chodzi o to że wszelka odpowiedzialność za prawidłowe przetwarzanie będzie spoczywała na administratorze? Nie jest tak w świetle RODO, a zawarcie umowy tak naprawdę jest korzystne dla obu stron. Dla administratora - co jest oczywiste.
Ale też dla procesora - żeby mieć jasność oraz pełną świadomość jakie obowiązki na nim spoczywają (art. 28 ust. 3 RODO).
Procesor ma jeszcze obowiązki wynikające m.in.. z art. 30, 32, 33, 37, 38 RODO. Przecież nie jest tak, ze procesor gdy nie zawrze umowy to będzie "zwolniony" z tych obowiązków - albo zostaną one "przerzucone na administratora :)
Poza tym procesor gdy nie ma zawartej umowy - to może być uznany za podmiot, który bezprawnie przetwarza dane.

Nie może. Zgodnie z art. 28 administrator nie może korzystać z usług firm, które nie gwarantują wystarczających gwarancji bezpieczeństwa... Jeśli procesor nie chce podpisać umowy powierzenia, to wszystkim moim klientom nakazuję (!) poszukanie innego dostawcy usług. A toczę obecnie boje z dużymi firmami ubezpieczeniowymi i chyba poruszyłem jakąś lawinę :)

Pozdr. M

Jeszcze istotna sprawa - nie chodzi o to żeby straszyć karami określonymi w RODO - zwłaszcza maksymalnymi - , ale jednak trzeba pamiętać o art. 83 RODO:

3.Jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.
4.Naruszenia przepisów dotyczących następujących kwesti podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa:
a) obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 –39 oraz 42 i 43;