Nawigacja
RODO > Artyku艂 28. Podmiot przetwarzaj膮cy
Pobierz jako plik PDF

Artyku艂 28 RODO. Podmiot przetwarzaj膮cy

Article 28 GDPR. Processor

1. Je偶eli przetwarzanie ma by膰 dokonywane w imieniu administratora, korzysta on wy艂膮cznie z us艂ug takich podmiot贸w przetwarzaj膮cych, kt贸re zapewniaj膮 wystarczaj膮ce gwarancje wdro偶enia odpowiednich 艣rodk贸w technicznych i organizacyjnych, by przetwarzanie spe艂nia艂o wymogi niniejszego rozporz膮dzenia i chroni艂o prawa os贸b, kt贸rych dane dotycz膮.

1. Where processing is to be carried out on behalf of a controller, the controller shall use only processors providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that processing will meet the requirements of this Regulation and ensure the protection of the rights of the data subject.

2. Podmiot przetwarzaj膮cy nie korzysta z us艂ug innego podmiotu przetwarzaj膮cego bez uprzedniej szczeg贸艂owej lub og贸lnej pisemnej zgody administratora. W przypadku og贸lnej pisemnej zgody podmiot przetwarzaj膮cy informuje administratora o wszelkich zamierzonych zmianach dotycz膮cych dodania lub zast膮pienia innych podmiot贸w przetwarzaj膮cych, daj膮c tym samym administratorowi mo偶liwo艣膰 wyra偶enia sprzeciwu wobec takich zmian.

2. The processor shall not engage another processor without prior specific or general written authorisation of the controller. In the case of general written authorisation, the processor shall inform the controller of any intended changes concerning the addition or replacement of other processors, thereby giving the controller the opportunity to object to such changes.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraphs to article 28(2) GDPR:

8.5.6 Disclosure of subcontractors used to process PII

Control

The organization should disclose any use of subcontractors to process PII to the customer before use.

Implementation guidance

Provisions for the use of subcontractors to process PII should be included in the customer contract.


aby uzyska膰 dost臋p do pe艂nego tekstu

3. Przetwarzanie przez podmiot przetwarzaj膮cy odbywa si臋 na podstawie umowy lub innego instrumentu prawnego, kt贸re podlegaj膮 prawu Unii lub prawu pa艅stwa cz艂onkowskiego i wi膮偶膮 podmiot przetwarzaj膮cy i administratora, okre艣laj膮 przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie os贸b, kt贸rych dane dotycz膮, obowi膮zki i prawa administratora. Ta umowa lub inny instrument prawny stanowi膮 w szczeg贸lno艣ci, 偶e podmiot przetwarzaj膮cy:

3. Processing by a processor shall be governed by a contract or other legal act under Union or Member聽State law, that is binding on the processor with regard to the controller and that sets out the subject-matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects and the obligations and rights of the controller. That contract or other legal act shall stipulate, in particular, that the processor:

a) przetwarza dane osobowe wy艂膮cznie na udokumentowane polecenie administratora 鈥 co dotyczy te偶 przekazywania danych osobowych do pa艅stwa trzeciego lub organizacji mi臋dzynarodowej 鈥 chyba 偶e obowi膮zek taki nak艂ada na niego prawo Unii lub prawo pa艅stwa cz艂onkowskiego, kt贸remu podlega podmiot przetwarzaj膮cy; w takim przypadku przed rozpocz臋ciem przetwarzania podmiot przetwarzaj膮cy informuje administratora o tym obowi膮zku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na wa偶ny interes publiczny;

(a)聽processes the personal data only on documented instructions from the controller, including with regard to transfers of personal data to a third country or an international organisation, unless required to do so by Union or Member聽State law to which the processor is subject; in such a case, the processor shall inform the controller of that legal requirement before processing, unless that law prohibits such information on important grounds of public interest;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(3)(a) GDPR:

8.2.2 Organization鈥檚 purposes

Control

The organization should ensure that PII processed on behalf of a customer are only processed for the purposes expressed in the documented instructions of the customer.

Implementation guidance

The contract between the organization and the customer should include, but not be limited to, the objective and time frame to be achieved by the service.


aby uzyska膰 dost臋p do pe艂nego tekstu

b) zapewnia, by osoby upowa偶nione do przetwarzania danych osobowych zobowi膮za艂y si臋 do zachowania tajemnicy lub by podlega艂y odpowiedniemu ustawowemu obowi膮zkowi zachowania tajemnicy;

(b)聽ensures that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 13.2.4.

Here is the relevant paragraph to article 28(3)(b) GDPR:

6.10.2.4 Confidentiality or non-disclosure agreements

Implementation guidance

The organization should ensure that individuals operating under its control with access to PII are subject to a confidentiality obligation. The confidentiality agreement, whether part of a contract or separate, should specify the length of time the obligations should be adhered to.


aby uzyska膰 dost臋p do pe艂nego tekstu

c) podejmuje wszelkie 艣rodki wymagane na mocy art. 32;

(c)聽takes all measures required pursuant to Article 32;

Powi膮zane teksty

d) przestrzega warunk贸w korzystania z us艂ug innego podmiotu przetwarzaj膮cego, o kt贸rych mowa w ust. 2 i 4;

(d)聽respects the conditions referred to in paragraphs 2 and 4 for engaging another processor;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(3)(d) GDPR:

8.5.7 Engagement of a subcontractor to process PII

Control

The organization should only engage a subcontractor to process PII according to the customer contract.

Implementation guidance

Where the organization subcontracts some or all of the processing of that PII to another organization, a written authorization from the customer is required prior to the PII processed by the subcontractor. This can be in the form of appropriate clauses in the customer contract, or can be a specific „one-off” agreement.

 


aby uzyska膰 dost臋p do pe艂nego tekstu

e) bior膮c pod uwag臋 charakter przetwarzania, w miar臋 mo偶liwo艣ci pomaga administratorowi poprzez odpowiednie 艣rodki techniczne i organizacyjne wywi膮za膰 si臋 z obowi膮zku odpowiadania na 偶膮dania osoby, kt贸rej dane dotycz膮, w zakresie wykonywania jej praw okre艣lonych w rozdziale III;

(e)聽taking into account the nature of the processing, assists the controller by appropriate technical and organisational measures, insofar as this is possible, for the fulfilment of the controller’s obligation to respond to requests for exercising the data subject’s rights laid down in Chapter III;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(3)(e) GDPR:

8.3.1 Obligations to PII principals

Control

The organization should provide the customer with the means to comply with its obligations related to PII principals.

Implementation guidance

A PII controller’s obligations can be defined by legislation, by regulation and/or by contract. These obligations can include matters where the customer uses the services of the organization for implementation of these obligations.


aby uzyska膰 dost臋p do pe艂nego tekstu

f) uwzgl臋dniaj膮c charakter przetwarzania oraz dost臋pne mu informacje, pomaga administratorowi wywi膮za膰 si臋 z obowi膮zk贸w okre艣lonych w art. 32鈥36;

(f)聽assists the controller in ensuring compliance with the obligations pursuant to Articles聽32 to 36 taking into account the nature of processing and the information available to the processor;

Powi膮zane teksty

g) po zako艅czeniu 艣wiadczenia us艂ug zwi膮zanych z przetwarzaniem zale偶nie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniej膮ce kopie, chyba 偶e prawo Unii lub prawo pa艅stwa cz艂onkowskiego nakazuj膮 przechowywanie danych osobowych;

(g)聽at the choice of the controller, deletes or returns all the personal data to the controller after the end of the provision of services relating to processing, and deletes existing copies unless Union or Member State law requires storage of the personal data;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(3)(g) GDPR:

8.4.2 Return, transfer or disposal of PII

Control

The organization should provide the ability to return, transfer and/or disposal of PII in a secure manner. It should also make its policy available to the customer.

Implementation guidance

At some point in time, PII can need to be disposed of in some manner. This can involve returning the PII to the customer, transferring it to another organization or to a PII controller (e.g. as a result of a merger), deleting or otherwise destroying it, de-identifying it or archiving it.


aby uzyska膰 dost臋p do pe艂nego tekstu

h) udost臋pnia administratorowi wszelkie informacje niezb臋dne do wykazania spe艂nienia obowi膮zk贸w okre艣lonych w niniejszym artykule oraz umo偶liwia administratorowi lub audytorowi upowa偶nionemu przez administratora przeprowadzanie audyt贸w, w tym inspekcji, i przyczynia si臋 do nich.

(h)聽makes available to the controller all information necessary to demonstrate compliance with the obligations laid down in this Article and allow for and contribute to audits, including inspections, conducted by the controller or another auditor mandated by the controller.

ISO 27701

W zwi膮zku z obowi膮zkiem okre艣lonym w akapicie pierwszym lit. h) podmiot przetwarzaj膮cy niezw艂ocznie informuje administratora, je偶eli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporz膮dzenia lub innych przepis贸w Unii lub pa艅stwa cz艂onkowskiego o ochronie danych.

With regard to point聽(h) of the first subparagraph, the processor shall immediately inform the controller if, in its opinion, an instruction infringes this Regulation or other Union or Member聽State data protection provisions.

4. Je偶eli do wykonania w imieniu administratora konkretnych czynno艣ci przetwarzania podmiot przetwarzaj膮cy korzysta z us艂ug innego podmiotu przetwarzaj膮cego, na ten inny podmiot przetwarzaj膮cy na艂o偶one zostaj膮 鈥 na mocy umowy lub innego aktu prawnego, kt贸re podlegaj膮 prawu Unii lub prawu pa艅stwa cz艂onkowskiego 鈥 te same obowi膮zki ochrony danych jak w umowie lub innym akcie prawnym mi臋dzy administratorem a podmiotem przetwarzaj膮cym, o kt贸rych to obowi膮zkach mowa w ust. 3, w szczeg贸lno艣ci obowi膮zek zapewnienia wystarczaj膮cych gwarancji wdro偶enia odpowiednich 艣rodk贸w technicznych i organizacyjnych, by przetwarzanie odpowiada艂o wymogom niniejszego rozporz膮dzenia. Je偶eli ten inny podmiot przetwarzaj膮cy nie wywi膮偶e si臋 ze spoczywaj膮cych na nim obowi膮zk贸w ochrony danych, pe艂na odpowiedzialno艣膰 wobec administratora za wype艂nienie obowi膮zk贸w tego innego podmiotu przetwarzaj膮cego spoczywa na pierwotnym podmiocie przetwarzaj膮cym.

4. Where a processor engages another processor for carrying out specific processing activities on behalf of the controller, the same data protection obligations as set out in the contract or other legal act between the controller and the processor as referred to in paragraph 3 shall be imposed on that other processor by way of a contract or other legal act under Union or Member State law, in particular providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that the processing will meet the requirements of this Regulation. Where that other processor fails to fulfil its data protection obligations, the initial processor shall remain fully liable to the controller for the performance of that other processor’s obligations.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(4) GDPR:

8.5.6 Disclosure of subcontractors used to process PII

Control

The organization should disclose any use of subcontractors to process PII to the customer before use.

Implementation guidance

Provisions for the use of subcontractors to process PII should be included in the customer contract.


aby uzyska膰 dost臋p do pe艂nego tekstu

5. Wystarczaj膮ce gwarancje, o kt贸rych mowa w ust. 1 i 4 niniejszego artyku艂u, podmiot przetwarzaj膮cy mo偶e wykaza膰 mi臋dzy innymi poprzez stosowanie zatwierdzonego kodeksu post臋powania, o kt贸rym mowa w art. 40 lub zatwierdzonego mechanizmu certyfikacji, o kt贸rym mowa w art. 42.

5. Adherence of a processor to an approved code of conduct as referred to in Article聽40 or an approved certification mechanism as referred to in Article聽42 may be used as an element by which to demonstrate sufficient guarantees as referred to in paragraphs聽1 and聽4 of this聽Article.

Powi膮zane teksty

6. Bez uszczerbku dla indywidualnych um贸w mi臋dzy administratorem a podmiotem przetwarzaj膮cym, umowa lub inny akt prawny, o kt贸rych mowa w ust. 3 i 4 niniejszego artyku艂u, mog膮 si臋 opiera膰 w ca艂o艣ci lub w cz臋艣ci na standardowych klauzulach umownych, o kt贸rych mowa w ust. 7 i 8 niniejszego artyku艂u, tak偶e gdy s膮 one elementem certyfikacji udzielonej administratorowi lub podmiotowi przetwarzaj膮cemu zgodnie z art. 42 i 43.

6. Without prejudice to an individual contract between the controller and the processor, the contract or the other legal act referred to in paragraphs 3 and 4 of this Article may be based, in whole or in part, on standard contractual clauses referred to in paragraphs聽7 and聽8 of this Article, including when they are part of a certification granted to the controller or processor pursuant to Articles 42 and 43.

Powi膮zane teksty

7. Komisja mo偶e okre艣li膰 standardowe klauzule umowne dotycz膮ce kwestii, o kt贸rych mowa w ust. 3 i 4 niniejszego artyku艂u, zgodnie z procedur膮 sprawdzaj膮c膮, o kt贸rej mowa w art. 93 ust. 2.

7. The Commission may lay down standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the examination procedure referred to in Article 93(2).

Powi膮zane teksty

8. Organ nadzorczy mo偶e przyj膮膰 standardowe klauzule umowne dotycz膮ce kwestii, o kt贸rych mowa w ust. 3 i 4 niniejszego artyku艂u, zgodnie z mechanizmem sp贸jno艣ci, o kt贸rym mowa w art. 63.

8. A supervisory authority may adopt standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the consistency mechanism referred to in Article聽63.

Powi膮zane teksty

9. Umowa lub inny akt prawny, o kt贸rych mowa w art. 3 i 4, maj膮 form臋 pisemn膮, w tym form臋 elektroniczn膮.

9. The contract or the other legal act referred to in paragraphs 3 and 4 shall be in writing, including in electronic form.

10. Bez uszczerbku dla art. 82, 83 i 84, je偶eli podmiot przetwarzaj膮cy naruszy niniejsze rozporz膮dzenie przy okre艣laniu cel贸w i sposob贸w przetwarzania, uznaje si臋 go za administratora w odniesieniu do tego przetwarzania.

10. Without prejudice to Articles 82, 83 and 84, if a processor infringes this Regulation by determining the purposes and means of processing, the processor shall be considered to be a controller in respect of that processing.

Powi膮zane teksty
Komentarz eksperta ISO 27701 Motywy Wytyczne & Case Law zostaw komentarz
Komentarz eksperta

(EN) A processor is a person or an organization that processes personal data on behalf and under the authority of a controller [Articles 4(8) and 28(1)]. The term used in the English text of the General Data Protection Regulation (GDPR) remains difficult to apprehend by a non-legal audience, so it is useful to turn to other linguistic versions for a better understanding.


aby uzyska膰 dost臋p do pe艂nego tekstu

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to articles 28(5), 28(6), and 28(10) GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.


aby uzyska膰 dost臋p do pe艂nego tekstu

Motywy

(81) Aby zapewni膰 przestrzeganie wymog贸w niniejszego rozporz膮dzenia w przypadku przetwarzania, kt贸rego w imieniu administratora ma dokona膰 podmiot przetwarzaj膮cy, administrator powinien, powierzaj膮c podmiotowi przetwarzaj膮cemu czynno艣ci przetwarzania, korzysta膰 z us艂ug wy艂膮cznie podmiot贸w przetwarzaj膮cych, kt贸re zapewniaj膮 wystarczaj膮ce gwarancje 鈥 w szczeg贸lno艣ci je偶eli chodzi o wiedz臋 fachow膮, wiarygodno艣膰 i zasoby 鈥 wdro偶enia 艣rodk贸w technicznych i organizacyjnych odpowiadaj膮cych wymogom niniejszego rozporz膮dzenia, w tym wymogom bezpiecze艅stwa przetwarzania. Stosowanie przez podmiot przetwarzaj膮cy zatwierdzonego kodeksu post臋powania lub zatwierdzonego mechanizmu certyfikacji mo偶e pos艂u偶y膰 za element wykazuj膮cy wywi膮zywanie si臋 z obowi膮zk贸w administratora. Przetwarzanie przez podmiot przetwarzaj膮cy powinno by膰 regulowane umow膮 lub innym instrumentem prawnym, kt贸re podlegaj膮 prawu Unii lub prawu pa艅stwa cz艂onkowskiego, wi膮偶膮 podmiot przetwarzaj膮cy z administratorem, okre艣laj膮 przedmiot i czas trwania przetwarzania, charakter i cele przetwarzania, rodzaj danych osobowych i kategorie os贸b, kt贸rych dane dotycz膮, oraz kt贸re powinny uwzgl臋dnia膰 konkretne zadania i obowi膮zki podmiotu przetwarzaj膮cego w kontek艣cie planowanego przetwarzania oraz ryzyko naruszenia praw lub wolno艣ci osoby, kt贸rej dane dotycz膮. Administrator i podmiot przetwarzaj膮cy mog膮 postanowi膰 skorzysta膰 z umowy indywidualnej lub ze standardowych klauzul umownych, kt贸re zosta艂y przyj臋te bezpo艣rednio przez Komisj臋 albo kt贸re zosta艂y przyj臋te przez organ nadzorczy zgodnie z mechanizmem sp贸jno艣ci, a nast臋pnie przyj臋te przez Komisj臋. Po zako艅czeniu przetwarzania w imieniu administratora podmiot przetwarzaj膮cy powinien 鈥 zgodnie z decyzj膮 administratora 鈥 zwr贸ci膰 lub usun膮膰 dane osobowe, chyba 偶e prawo Unii lub prawo pa艅stwa cz艂onkowskiego, kt贸remu podlega podmiot przetwarzaj膮cy, nak艂adaj膮 obowi膮zek przechowywania danych osobowych.

(81) To ensure compliance with the requirements of this Regulation in respect of the processing to be carried out by the processor on behalf of the controller, when entrusting a processor with processing activities, the controller should use only processors providing sufficient guarantees, in particular in terms of expert knowledge, reliability and resources, to implement technical and organisational measures which will meet the requirements of this Regulation, including for the security of processing. The adherence of the processor to an approved code of conduct or an approved certification mechanism may be used as an element to demonstrate compliance with the obligations of the controller. The carrying-out of processing by a processor should be governed by a contract or other legal act under Union or Member State law, binding the processor to the controller, setting out the subject-matter and duration of the processing, the nature and purposes of the processing, the type of personal data and categories of data subjects, taking into account the specific tasks and responsibilities of the processor in the context of the processing to be carried out and the risk to the rights and freedoms of the data subject. The controller and processor may choose to use an individual contract or standard contractual clauses which are adopted either directly by the Commission or by a supervisory authority in accordance with the consistency mechanism and then adopted by the Commission. After the completion of the processing on behalf of the controller, the processor should, at the choice of the controller, return or delete the personal data, unless there is a requirement to store the personal data under Union or Member State law to which the processor is subject.

Wytyczne & Case Law zostaw komentarz
[js-disqus]