BLOG

Dowiedz się co jest naprawdę ważne.

RODO -> POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH – UMOWA PODPISANA… I CO DALEJ?

rodo, gdpr, auraco, umowa powierzenia, abi, iod
RODO -> POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH – UMOWA PODPISANA… I CO DALEJ?

RODO -> POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH – UMOWA PODPISANA… I CO DALEJ?

W przypadku chęci skorzystania przez administratora danych osobowych (ADO) z usług, które z uwagi na ich specyfikę mogą wiązać się z koniecznością powierzenia podwykonawcy przetwarzania wspomnianych danych, w pierwszej kolejności niezbędne będzie zawarcie umowy powierzenia przetwarzania danych osobowych.

Umowa ta powinna zawierać co najmniej elementy wskazane w art. 28 RODO, w szczególności w zakresie:

  • przetwarzania danych osobowych zgodnie z udokumentowanym poleceniem administratora;
  • dopuszczenia do przetwarzania danych wyłącznie osób do tego upoważnionych, które zobowiązały się do zachowania tajemnicy lub podlegają ustawowemu obowiązkowi zachowania tajemnicy;
  • zapewnienia administratorowi odpowiedniej pomocy udzielanej przez podmiot przetwarzający w zakresie spełniania niektórych obowiązków administratora, np. zgłaszania naruszeń ochrony danych organowi nadzoru lub rozpatrywaniu żądań realizacji praw przysługujących podmiotom danych na mocy rozdziału III RODO;
  • zwrócenia lub usunięcia danych po zakończeniu trwania umowy powierzenia; czy też
  • zapewnienia możliwości przeprowadzania przez administratora audytów, w tym inspekcji w odniesieniu do spełnienia przez podmiot przetwarzający obowiązku przetwarzania powierzonych danych osobowych zgodnie z zawartą umową oraz przepisami prawa.

Warto jednak pamiętać, że poza obowiązkiem zawarcia umowy powierzenia przetwarzania danych osobowych, administrator danych zobowiązany jest w szczególności, by uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, wdrożone zostały odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Co więcej, powyższy obowiązek wynikający z art. 32 RODO nałożony został nie tylko na administratorów danych, ale również na podmioty przetwarzające.

Ostatecznie jednak, to administrator danych powinien w pierwszej kolejności czuwać nad zapewnieniem przetwarzania danych osobowych zgodnie z przepisami prawa, dlatego należy mieć na uwadze, iż odpowiednia weryfikacja podmiotu przetwarzającego powinna odbywać się nie tylko na etapie początkowym, gdy jest on angażowany jako nowy dalszy przetwarzający.

Regularne sprawdzanie dalszych podmiotów przetwarzających należy do jednych z najważniejszych elementów dotyczących zapewnienia przetwarzanym danym odpowiedniego bezpieczeństwa. Jednocześnie warto przypomnieć, iż sam art. 28 ust. 3 lit. h) RODO wprost nie precyzuje w jaki sposób administrator danych powinien przeprowadzać audyty, w tym inspekcje, dlatego też dobrym sposobem na sprawne i efektywne zweryfikowanie, czy podmiot przetwarzający spełnia niezbędne standardy, może być np. przesłanie do podwykonawcy ankiety weryfikacyjnej zawierającej pytania z zakresu przestrzegania przepisów prawa dotyczącego ochrony danych osobowych, w tym stosowanych środków technicznych i organizacyjnych mających na celu zapewnienie odpowiedniego stopnia ochrony. Tak przeprowadzona weryfikacja może pozwolić na szybkie wyłapanie ewentualnych niezgodności i jeśli okaże się to niezbędne podjęcie decyzji o konieczności przeprowadzenia dodatkowego audytu np. w siedzibie podwykonawcy oraz wdrożeniu niezbędnych działań naprawczych.

Administrator danych (ADO) jako podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych musi pamiętać, że jedynie regularne weryfikowanie swoich dalszych podmiotów przetwarzających pozwoli na zapewnienie odpowiedniego stopnia bezpieczeństwa przetwarzanych danych w maksymalnym możliwym wymiarze. Kwestia ta jest szczególnie istotna również z uwagi na zasady dotyczące odpowiedzialności, gdyż zgodnie z art. 82 RODO podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które przepisy RODO nakładają bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. Ponadto regularna weryfikacja podwykonawców pomaga administratorowi danych wywiązać się z obowiązku wskazanego w art. 5 ust. 2 RODO, zgodnie z którym to administrator danych jest odpowiedzialny za przestrzeganie zasad przetwarzania danych osobowych wskazanych w art. 5 ust. 1 RODO i musi być w stanie wykazać ich przestrzeganie (tzw. „zasada rozliczalności”).

Źródła:

https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679

https://www.uodo.gov.pl/decyzje/DKN.5131.50.2021