Ustrezna izbira ponudnika hrambe: varstvo osebnih podatkov

Pri izbiri pogodbenega obdelovalca za hrambo osebnih podatkov mora organizacija zagotoviti, da ponudnik storitve izpolnjuje vse zahteve Splošne uredbe o varstvu podatkov (GDPR). Ta določa minimalne sestavine pogodbe ali drugega pravnega akta, na osnovi katerega obdelovalec obdeluje osebne podatke v imenu upravljavca. Pred dokončno izbiro je ključno izvesti temeljit pregled skladnosti pogodbe in postopkov obdelovalca.

Pravni okvir in temeljne zahteve

Vsaka pogodba mora jasno opredeliti stranke, pri čemer je treba preveriti identiteto obdelovalca, vključno z njegovo davčno številko in registracijo. Pomembno je natančno določiti, katere osebne podatke obdelovalec hrani, čigavi so ti podatki in za kakšen namen se obdelujejo. Obseg in trajanje obdelavemorata biti jasno definirana, saj obdelovalec ne sme obdelovati podatkov dlje, kot je potrebno za dogovorjeni namen. Upravljavec prav tako ne more prenesti na obdelovalca več pravic, kot jih ima sam, kar pomeni, da morajo biti omejitve za upravljavca enake omejitvam za obdelovalca.

Pogodba mora vsebovati določilo, da lahko obdelovalec osebne podatke obdeluje izključno po dokumentiranih navodilih upravljavca. To vključuje omejitve glede prenosa podatkov v tretje države ali mednarodne organizacije, razen če tak prenos zahteva zakonodaja. V tem primeru mora obdelovalec predhodno obvestiti upravljavca, razen če zakon prepoveduje takšno obvestilo iz javnega interesa. Prav tako je nujno, da so vse osebe, ki obdelujejo osebne podatke, zavezane k zaupnosti bodisi s pogodbeno obveznostjo bodisi z ustrezno zakonodajo.

Varnostni ukrepi in odgovornosti

Obdelovalec mora zagotoviti ustrezne tehnične in organizacijske ukrepe za varovanje osebnih podatkov, ki morajo biti jasno opisani v njegovem internem pravilniku o varnosti podatkov. Ti ukrepi vključujejo psevdonimizacijo in šifriranje osebnih podatkov, zagotavljanje stalne zaupnosti, celovitosti, dostopnosti in odpornosti sistemov, možnost pravočasne vzpostavitve dostopa do podatkov v primeru incidenta ter izvajanje rednih varnostnih testov in ocen.

Pri izbiri ponudnika je pomembno preveriti, ali lahko obdelovalec zaposli podizvajalce le s pisnim dovoljenjem upravljavca ter ali so obveznosti podizvajalcev enake tistim, ki veljajo za primarnega obdelovalca. Obdelovalec mora tudi pomagati upravljavcu pri izpolnjevanju njegovih obveznosti do posameznikov, katerih podatki se obdelujejo, vključno z uresničevanjem njihovih pravic. Prav tako mora zagotavljati pomoč pri varnosti obdelave, uradnem obveščanju o kršitvah in ocenjevanju vplivov na varstvo podatkov. V primeru kršitve mora obdelovalec brez odlašanja obvestiti upravljavca.

Pogoji po zaključku storitve in dokazovanje skladnosti

Ko obdelava ni več potrebna, mora obdelovalec osebne podatke bodisi izbrisati bodisi jih vrniti upravljavcu, razen če zakon zahteva njihovo nadaljnjo hrambo. Pomembno je tudi, da pogodba določa, da obdelovalec upravljavcu zagotovi vse potrebne informacije za dokazovanje skladnosti z GDPR ter omogoči revizije in preglede, ki jih izvede upravljavec ali pooblaščeni revizor.

Za dokazovanje skladnosti obdelovalca z zakonodajo je priporočljivo preveriti, ali je pridružen določenemu kodeksu ravnanja ali certificiran skladno z relevantnimi standardi. Takšni kodeksi in certifikati pogosto vsebujejo standardna pogodbena določila, ki olajšajo izpolnjevanje zahtev GDPR.

Kako vam lahko pomagajo pri DATAINFO.SI?

Izbira ustreznega ponudnika hrambe podatkov ni zgolj formalnost, temveč ključni korak k zagotavljanju skladnosti z zakonodajo in varnosti osebnih podatkov. Pri tem vam lahko pri DATAINFO.SI pomagajo s strokovnim pregledom pogodb, oceno varnostnih ukrepov obdelovalca ter svetovanjem pri izbiri najzanesljivejšega ponudnika skladno z GDPR in drugimi relevantnimi predpisi. Za ponudbo jih lahko kontaktirate na telefonsko številko 02 620 43 00 ali na e-naslov: info@datainfo.si in pomagali vam bodo pri celoviti analizi in oceni tveganj. (P.R.)