Nawigacja
RODO > Motyw 81
Pobierz jako plik PDF

Motyw 81

Recital 81

(81) Aby zapewni膰 przestrzeganie wymog贸w niniejszego rozporz膮dzenia w przypadku przetwarzania, kt贸rego w imieniu administratora ma dokona膰 podmiot przetwarzaj膮cy, administrator powinien, powierzaj膮c podmiotowi przetwarzaj膮cemu czynno艣ci przetwarzania, korzysta膰 z us艂ug wy艂膮cznie podmiot贸w przetwarzaj膮cych, kt贸re zapewniaj膮 wystarczaj膮ce gwarancje 鈥 w szczeg贸lno艣ci je偶eli chodzi o wiedz臋 fachow膮, wiarygodno艣膰 i zasoby 鈥 wdro偶enia 艣rodk贸w technicznych i organizacyjnych odpowiadaj膮cych wymogom niniejszego rozporz膮dzenia, w tym wymogom bezpiecze艅stwa przetwarzania.

Stosowanie przez podmiot przetwarzaj膮cy zatwierdzonego kodeksu post臋powania lub zatwierdzonego mechanizmu certyfikacji mo偶e pos艂u偶y膰 za element wykazuj膮cy wywi膮zywanie si臋 z obowi膮zk贸w administratora.

Przetwarzanie przez podmiot przetwarzaj膮cy powinno by膰 regulowane umow膮 lub innym instrumentem prawnym, kt贸re podlegaj膮 prawu Unii lub prawu pa艅stwa cz艂onkowskiego, wi膮偶膮 podmiot przetwarzaj膮cy z administratorem, okre艣laj膮 przedmiot i czas trwania przetwarzania, charakter i cele przetwarzania, rodzaj danych osobowych i kategorie os贸b, kt贸rych dane dotycz膮, oraz kt贸re powinny uwzgl臋dnia膰 konkretne zadania i obowi膮zki podmiotu przetwarzaj膮cego w kontek艣cie planowanego przetwarzania oraz ryzyko naruszenia praw lub wolno艣ci osoby, kt贸rej dane dotycz膮.

Administrator i podmiot przetwarzaj膮cy mog膮 postanowi膰 skorzysta膰 z umowy indywidualnej lub ze standardowych klauzul umownych, kt贸re zosta艂y przyj臋te bezpo艣rednio przez Komisj臋 albo kt贸re zosta艂y przyj臋te przez organ nadzorczy zgodnie z mechanizmem sp贸jno艣ci, a nast臋pnie przyj臋te przez Komisj臋.

Po zako艅czeniu przetwarzania w imieniu administratora podmiot przetwarzaj膮cy powinien 鈥 zgodnie z decyzj膮 administratora 鈥 zwr贸ci膰 lub usun膮膰 dane osobowe, chyba 偶e prawo Unii lub prawo pa艅stwa cz艂onkowskiego, kt贸remu podlega podmiot przetwarzaj膮cy, nak艂adaj膮 obowi膮zek przechowywania danych osobowych.

(81) To ensure compliance with the requirements of this Regulation in respect of the processing to be carried out by the processor on behalf of the controller, when entrusting a processor with processing activities, the controller should use only processors providing sufficient guarantees, in particular in terms of expert knowledge, reliability and resources, to implement technical and organisational measures which will meet the requirements of this Regulation, including for the security of processing.

The adherence of the processor to an approved code of conduct or an approved certification mechanism may be used as an element to demonstrate compliance with the obligations of the controller.

The carrying-out of processing by a processor should be governed by a contract or other legal act under Union or Member State law, binding the processor to the controller, setting out the subject-matter and duration of the processing, the nature and purposes of the processing, the type of personal data and categories of data subjects, taking into account the specific tasks and responsibilities of the processor in the context of the processing to be carried out and the risk to the rights and freedoms of the data subject.

The controller and processor may choose to use an individual contract or standard contractual clauses which are adopted either directly by the Commission or by a supervisory authority in accordance with the consistency mechanism and then adopted by the Commission.

After the completion of the processing on behalf of the controller, the processor should, at the choice of the controller, return or delete the personal data, unless there is a requirement to store the personal data under Union or Member State law to which the processor is subject.