Na początku czerwca Komisja Europejska przyjęła dokument zawierający standardowe klauzule obowiązujące przy zawieraniu umów powierzenia przetwarzania danych osobowych. Decyzja wejdzie w życie 27 czerwca.
Zgodnie z art. 28 RODO administrator danych może powierzyć je innemu podmiotowi, jeśli ten daje wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Przetwarzanie musi więc spełniać wiele wymogów zawartych w rozporządzeniu i chronić prawa osób, których dane są przetwarzane.
– Możliwości wykorzystania tego rodzaju uprawnień mogą jednak w praktyce stać się iluzoryczne. Im więcej podmiotów uczestniczy w przetwarzaniu, tym łatwiej o rozmycie odpowiedzialności. Minimalny katalog obowiązków, które należy ująć w umowie administratora danych z podmiotem, któremu powierza się ich przetwarzanie, przewidziano już w samych przepisach RODO. Rozwiązania dostępne dotychczas odnosiły się jednak do rzeczywistości regulacyjnej i technicznej z początku lat 2000. Decyzja formalnie nie nakłada nowych wymogów. Wprowadza natomiast instrumenty, które umożliwiają spełnienie istniejących oraz wykazanie zgodności z obowiązującymi przepisami w aktualnym kształcie – mówił „Rzeczpospolitej" Marcin Maciejak, adwokat z Kancelarii GESSEL.
Celem najnowszej decyzji było przede wszystkim opisanie podstawowych obowiązków, jakie muszą wypełnić strony umowy, uszczegółowienie warunków przetwarzania danych i określenie zasad współpracy administratora z podmiotem przetwarzającym.
Jak tłumaczy mec. Maciejak, nowe regulacje mówią o zasadach ogólnych związanych z RODO, ale również o powierzaniu przetwarzania danych transferowanych poza Europejski Obszar Gospodarczy.