Zgodnie z treścią art. 28 RODO jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

Co ten przepis oznacza w praktyce ?

Oznacza, że jeżeli firma będąca administratorem danych osobowych, chce skorzystać z usług innego podmiotu, np. firmy informatycznej, która przetwarza te dane w jej imieniu  – może być dostawcą jakiejś aplikacji, to obowiązkiem administratora danych jest zadbanie o to, by firma przetwarzająca dane na jego zlecenie, spełniała wszystkie kryteria dotyczące przetwarzania danych osobowych, wynikające z RODO.

W jaki sposób możemy zadbać o wypełnienie tych obowiązków ?

Podstawowym aspektem jest konieczność zawarcia umowy na powierzenie przetwarzania danych osobowych. Zawarcie takiej umowy leży w interesie administratora danych osobowych, a wręcz jest jego obowiązkiem. Obowiązek ten wynika z treści art. 28 ust. 3 RODO. W myśl tego przepisu przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora danych. RODO określa również minimalna zawartość takiej umowy, a mianowicie powinna ona określać: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.