PODMIOT PRZETWARZAJĄCY CZY TRZEBA GO KONTROLOWAĆ?
Kim jest podmiot przetwarzający?
Wielokrotnie podczas prowadzenia swojej działalności Administrator danych osobowych musi skorzystać z usług podmiotu zewnętrznego. Bardzo często w ramach współpracy, aby zrealizować daną usługę podmiot przetwarzający korzysta z danych osobowych przekazanych mu przez Administratora. Oznacza to w praktyce, iż przetwarza on dane w imieniu Administratora, które mu powierzono zgodnie z przepisami prawa dotyczącymi ochrony danych osobowych. Nazywamy go wówczas podmiotem przetwarzającym.
Jak to się odbywa?
Decydując się na powierzenie danych osobowych podmiotowi zewnętrznemu Administrator musi mieć na uwadze by cały proces odbył się zgodnie z przepisami obowiązującego prawa. Działając zgodnie z Art. 28 ust. 3 RODO powierzenie przetwarzania musi odbywać się na podstawie umowy lub innego instrumentu prawnego. Wskazany artykuł jasno określa, jakie elementy powinny znaleźć się w dokumencie zwanym umową powierzenia przetwarzania danych osobowych. Umowa musi zawierać przedmiot, czas trwania przetwarzania, charakter i cel przetwarzania. Także rodzaj danych osobowych oraz kategorie danych osób, których dane osobowe dotyczą. Określając przy tym obowiązki i prawa administratora. Umowa określa również szeroki zakres wymagań stosowanych wobec podmiotu przetwarzającego, które musi spełnić, aby powierzenie danych było możliwe.
Czy Administrator musi kontrolować podmiot przetwarzający?
Zgodnie z art. 28 ust. 1 RODO Administrator decydując się na powierzenie przetwarzania danych osobowych musi starannie wybrać podmiot przetwarzający. Przede wszystkim musi otrzymać zapewnienie wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymagania opisane w RODO. W jaki sposób to zweryfikować? Coraz bardziej powszechne są ankiety wysyłane do podmiotu, z którym chcemy podjąć współpracę, zawierające ściśle określone pytania. Odpowiedzi na nie zawierają wiele konkretnych informacji, które wskazują Administratorowi czy wybranie wskazanego podmiotu daje gwarancję bezpieczeństwa powierzonych danych osobowych. Czy musimy kontrolować podmiot przetwarzający podczas współpracy? Odpowiedź na to pytanie nie jest jednoznaczna. RODO nakłada szereg obowiązków na podmiot przetwarzający w związku z powierzeniem danych osobowych. Administrator wybierając ten podmiot sugeruje się zazwyczaj odpowiedziami na zadane w kontekście bezpieczeństwa danych pytania. W praktyce oznacza to bardzo często, iż gdy dochodzi do współpracy i nie występują żadne problemy z tym związane, Administrator „zapomina” o swojej odpowiedzialności. Niezależnie od sytuacji i zdarzenia, które mogło lub może wystąpić z ramienia podmiotu przetwarzającego, to Administrator ponosi odpowiedzialność, gdyż to on odpowiada za dane osobowe będące w jego zasobach.
Odpowiedzialność Administratora i podmiotu przetwarzającego
Urząd Ochrony Danych Osobowych kilkukrotnie wykazał, iż pomimo naruszeń, do których przyczynił się podmiot przetwarzający, karę pieniężną otrzymał również Administrator. Wynika to z faktu, iż jego niezmiennym obowiązkiem jest dbałość o bezpieczeństwo wszystkich danych osobowych będących w jego zasobach. Bez względu na to czy są one powierzone innemu podmiotowi czy też nie. To po stronie administratora leży obowiązek zapewnienia ciągłości bezpieczeństwa danych osobowych. Musi on systematycznie kontrolować, czy dane osobowe, zarówno przez niego jak i przez inne podmioty, którym je powierzył, przetwarzane są zgodnie z obowiązującymi przepisami. W sposób zapewniający ochronę praw i wolności osób, których dane dotyczą.