Jak administrator powinien weryfikować podmiot przetwarzający?
Niska cena i efektywność to cechy, których administrator danych najczęściej szuka wybierając swoich podwykonawców (podmioty przetwarzające). Nie może on jednak zapominać o tym, że taki podmiot musi realizować swoje usługi zgodnie z RODO. Z kolei obowiązkiem administratora jest weryfikacja procesorów i wybór tego, który odpowiednio dba o ochronę danych osobowych.
Ponad 4,9 mln złotych - tyle wyniosła rekordowa administracyjna kara pieniężna w sprawie spółki, która wg Prezesa UODO zaniedbała weryfikację podmiotu przetwarzającego. Sam procesor również nie uniknął odpowiedzialności. Niemniej jednak to administrator powinien był skontrolować jakość i adekwatność środków technicznych i organizacyjnych wdrożonych przez procesora. Eksperci podkreślają, że sprawa Fortum Marketing jest przestrogą dla innych - Prezes UODO bardzo poważnie podchodzi do wymogu z art. 28 ust. 1 RODO.
Administrator mądry po szkodzie
Zanim administrator powierzy dane procesorowi, powinien sprawdzić, czy spełnia on kryteria wiedzy fachowej, o której mowa w motywie 81 RODO. Ekspertka, r. pr. Patrycja Szurmak z Kancelarii Traple Konarski Podrecki & Wspólnicy, za wyznacznik wspomnianego kryterium uznaje m.in.:
- posiadanie udokumentowanego doświadczenia w świadczeniu usług powierzenia danych;
- wyznaczenie inspektora ochrony danych lub innej osoby/ działu wyłącznie odpowiedzialnego za nadzór nad ochroną danych osobowych w organizacji;
- przeszkolenie osób skierowanych do obsługi administratora z zakresu ochrony danych.
Poza odpowiednią wiedzą, o profesjonalizmie procesora świadczy również posiadanie odpowiednich zasobów i bycie wiarygodnym na rynku.
Skuteczna kontrola - to znaczy jaka?
Wybór odpowiedniego procesora jest zadaniem kluczowym, jednak co w przypadku, kiedy mamy już zawartą umowę powierzenia, ale nie zadbaliśmy wcześniej o odpowiednią weryfikację procesora pod kątem ochrony danych osobowych?
Mimo powierzenia danych, to administrator decyduje o celu i sposobie przetwarzania danych. Powinien aktywnie uczestniczyć we wszystkich procesach, w szczególności wtedy, gdy powierza nowe czynności. Administrator powinien kontrolować czy środki wcześniej przyjęte przez procesora nadają się do nowych procesów.
Zgodnie z art. 28 ust. 3 RODO, procesor powinien gwarantować wdrożenie odpowiednich środków technicznych i organizacyjnych. Radca prawny Patrycja Szurmak podkreśla, że przeprowadzanie audytu nie jest uprawnieniem administratora, lecz jego obowiązkiem, a zatem bez cyklicznie przeprowadzanych kontroli nie można mówić o jej skuteczności.
Praktycznym rozwiązaniem jest przeprowadzenie kontroli za pomocą kwestionariusza pytań. Lista weryfikacyjna w łatwy sposób pozwoli administratorowi uzyskać informacje od procesora na temat stanu zgodności rozwiązań technicznych i organizacyjnych z RODO. W LEX Ochrona Danych Osobowych znajdziesz ogólny wzór takiej listy kontrolnej, który możesz z łatwością dostosować do specyfiki Twojej organizacji.
Jak zabezpieczyć się przed odpowiedzialnością za błędy procesora?
Administrator danych może zawierając umowę powierzenia umieścić w niej szereg zapisów, które pomogą zabezpieczyć jego interes prawny. Mogą to być m.in. zapisy dotyczące kar umownych czy też regresu. O tym, jakie inne instrumenty cywilnoprawne może wykorzystać w umowie administrator oraz czy warto zainwestować w tzw. polisy RODO mówiła r. pr. Patrycja Szurmak podczas szkolenia online. Nagranie z tego szkolenia znajdziesz w LEX Ochrona Danych Osobowych.
W LEX ODO dostępnych jest więcej nagrań ze szkoleń, komentarzy eksperckich, wzorów dokumentów i dobrych praktyk dotyczących tematyki umów powierzenia. Zapoznaj się z naszą ofertą.
Redakcja Publikacji Elektronicznych