Cos'è un elaboratore (art. 28)?

Un incaricato del trattamento è una persona fisica o giuridica, un'autorità pubblica, un'agenzia o un altro organismo che elabora dati personali per conto del responsabile del trattamento.

Elaborazione degli ordini - esempi:

Effettuare un ordine con una società per la distruzione di file / documenti / supporti dati;
Assumere un'agenzia di marketing per inviare lettere pubblicitarie o valutare analisi di siti web;
Autorizzazione di un'agenzia a reclutare nuovi dipendenti per l'azienda;
Commissionare un'azienda per l'archiviazione esterna dei dati;
Utilizzo di sistemi cloud per la gestione dei clienti e del personale.

Controllo dei processori

Il controllore deve specificare che l'incaricato del trattamento (art. 28, par. 3):

tratta i dati personali solo su sue istruzioni documentate;
garantisce che le persone autorizzate a trattare i dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza;
adotta tutte le misure richieste dall'articolo 32 (Sicurezza del trattamento);
è in grado di utilizzare misure tecniche e organizzative appropriate per assisterlo (per quanto possibile) nell'adempimento dell'obbligo di rispondere alle richieste di esercizio dei diritti degli interessati;
al termine della fornitura dei servizi di trattamento, cancella, distrugge o restituisce tutti i dati personali;
fornisce tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all'articolo 28 e consente e contribuisce alle verifiche, comprese le ispezioni, effettuate dalla persona responsabile o da un altro revisore nominato dalla persona responsabile.

Importante: il controllore è responsabile della conformità dei suoi processori con il GDPR. Lavorare con processori che non rispettano i requisiti del GDPR si tradurrà quindi in multe sia per quei processori che per il controllore.

Compiti / Doveri del Procuratore

Il processore deve occuparsi dei seguenti punti:

Nomina di un responsabile della protezione dei dati;
Manutenzione di un elenco di lavorazione;
Cooperazione con l'autorità di vigilanza in caso di incidente relativo alla protezione dei dati;
Garantire la sicurezza dell'elaborazione implementando i TOM appropriati;
Rispetto delle restrizioni sui trasferimenti di dati a paesi terzi;
Se il processore si trova al di fuori dell'UE: Nomina di un rappresentante dell'UE.

Il controllore deve anche assicurarsi che il processore sia in grado di assisterlo in questi punti:

Quando si elaborano i dati forniti dagli interessati (ai sensi dell'art. 15);
Per le proprie misure di sicurezza (secondo l'art. 32);
Quando si segnalano incidenti relativi alla protezione dei dati all'autorità di vigilanza (secondo l'art. 33);
Nel notificare le persone interessate in caso di incidente relativo alla protezione dei dati (ai sensi dell'art. 34);
Quando si effettuano le valutazioni d'impatto sulla protezione dei dati (ai sensi dell'art. 35);
Durante la consultazione dell'autorità di vigilanza (secondo l'art. 36).

Contenuto minimo del contratto

Il controllore deve concludere un contratto in forma scritta o elettronica con tutti i suoi processori. Questo contratto deve essere verificabile in caso di richiesta da parte dell'autorità di controllo. Deve avere il seguente contenuto minimo :

Oggetto, durata, natura e scopo del trattamento;
Tipo di dati personali;
Categorie di persone interessate;
Doveri e diritti della persona responsabile;
Doveri del processore;
trasformatori subappaltati, se del caso;
Elaborazione dei dati solo su istruzione documentata del responsabile del trattamento;
Obbligo dei dipendenti del processore di mantenere la riservatezza;
Protezione dei dati personali attraverso misure tecniche e organizzative adeguate (TOM).

Sottoprocessore

Un subprocessore o subappaltatore è qualsiasi contraente che elabora i dati personali del responsabile del trattamento per conto del responsabile del trattamento.

Il controllore ha il diritto di chiedere informazioni ai suoi processori per sapere se vengono utilizzati altri processori.
Ha anche il diritto di opporsi a certi sub-processori.

Il controllore deve anche assicurarsi che il contratto tra il processore e il subprocessore contenga il contenuto minimo richiesto.

In caso di violazione degli obblighi da parte del subprocessore, l'elaboratore è responsabile nei confronti del controllore.

Persone corresponsabili (art. 26)

Se due o più controllori determinano congiuntamente le finalità e i mezzi del trattamento, essi sono controllori congiunti (art. 26).

L'interessato può esercitare i suoi diritti ai sensi del GDPR con e contro ciascuno dei responsabili del trattamento.

L'accordo tra i controllori congiunti deve specificare in modo trasparente chi di loro adempie a quale obbligo secondo il GDPR. Questo vale in particolare per l'esercizio dei diritti degli interessati e il rispetto degli obblighi di informazione di cui agli articoli 13 e 14.

L'accordo deve anche riflettere debitamente le rispettive funzioni e relazioni effettive delle persone corresponsabili nei confronti degli interessati.

Gli elementi essenziali dell'accordo devono essere messi a disposizione degli interessati.

Ognuno dei corresponsabili è responsabile dell'intero danno secondo l'art. 82 cpv. 4 in caso di trattamento illecito dei dati, a meno che non possa dimostrare la propria mancanza di colpa (art. 82 cpv. 3).

Se non hai ancora analizzato il tuo livello di sicurezza con la nostra applicazione gratuita, registrati qui!

Condividi post:

Anche questi articoli potrebbero interessarti

Uomo che lavora con un computer, regolamento generale sulla protezione dei dati e bandiera dell'Unione europea

Notifiche di protezione dei dati (art. 33 e 34)

Notifica di protezione dei dati all'autorità di controllo Secondo il GDPR, tutte le violazioni dei dati personali devono essere segnalate senza indugio all'autorità di controllo competente. Questo si chiama

13 agosto 2021