Podmiot przetwarzający jak go prawidłowo wybrać?

BySylwia Ostrowska

podmiot przetwarzający

Wybór prawidłowego podmiotu przetwarzającego powinniśmy rozpocząć od weryfikacji, która ma na celu sprawdzenie czy podmiot przetwarzający spełnia nasze oczekiwania i jest zgodny z RODO. Administrator musi mieć świadomość, że powierza dane rzetelnemu podmiotowi. Odpowiedzialność za wybór właściwego kontrahenta w zakresie powierzenia przetwarzania danych, spoczywa bowiem na samym administratorze.

Podmiot przetwarzający co to jest?

Podmiotem przetwarzającym jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Z przywołanej definicji wynika, że podmiot przetwarzający działa jedynie na zlecenie administratora, który faktycznie decyduje o celach i sposobach przetwarzania danych osobowych. Z wyjątkiem sytuacji, gdy obowiązek przetwarzania wynika z obowiązujących przepisów prawa.

Czym kierować się przy wyborze podmiotu przetwarzającego?

Administrator chcąc powierzyć dane osobowe podmiotowi przetwarzającemu powinien korzystać z takich podmiotów, które zapewnią wdrożenie odpowiednich środków technicznych jak i organizacyjnych, by przetwarzanie spełniało zasady RODO. Chroniąc przy tym prawa osób, których dane dotyczą. Najważniejszym zadaniem administratora przed powierzeniem danych podmiotowi przetwarzającemu jest sprawdzenie czy dany podmiot zapewnia prawidłowe zabezpieczenia o jakich mowa w RODO. Zatem odpowiedni podmiot przetwarzający w szczególności powinien posiadać:

  • odpowiednią wiedzę i doświadczenie umożliwiające realizację zleconych zadań;
  • odpowiednie zasoby umożliwiające utrzymanie zdolności do ciągłego zapewniania poufności, integralności, dostępności i odporności systemów i procesów przetwarzania;
  • wdrożone odpowiednie środki techniczne i organizacyjne, zgodnie z wymaganiami wskazanymi w art. 32 RODO;
  • wdrożone odpowiednie środki techniczne i organizacyjne umożliwiające pomoc administratorowi danych w realizacji jego obowiązków wynikających z RODO, takich jak np. udzielanie odpowiedzi na żądania osób, których dane dotyczą, zgłaszanie naruszeń;
  • umożliwiać przeprowadzenie audytów lub inspekcji;
  • gwarantować ciągłą współpracę w zakresie powierzonych danych osobowych poprzez bieżący kontakt, udostępnianie informacji, udzielanie wyjaśnień stosownie do charakteru i zakresu świadczonych usług.

Na tej podstawie administrator może ocenić zabezpieczenie podmiotu w zakresie wdrożenia środków technicznych i organizacyjnych zapewniających właściwe stosowanie przepisów RODO.

Powierzamy dane

Udzielając podmiotowi przetwarzającemu dane osobowe, zawieramy z nim tzw. umowę powierzenia. Powinna ona zawierać elementy wskazane w art. 28 RODO. Ważnym elementem umowy będzie określenie praw administratora. Musimy pamiętać, że mimo powierzenia do przetwarzania danych innemu podmiotowi, to nadal my, jako podmiot powierzający jesteśmy zobowiązani do wykonywania obowiązków nałożonych na nas przez RODO, np. odpowiedzi na żądania podmiotów danych, współpraca z organem, zgłaszanie naruszeń danych osobowych, spełnienie obowiązku informacyjnego. Umowa powierzenia powinna określać:

  • przedmiot i czas trwania przetwarzania,
  • charakter i cel przetwarzania,
  • rodzaj danych osobowych,
  • kategorie osób, których dane dotyczą,
  • obowiązki i prawa administratora.
Kontrolowanie podmiotu przetwarzającego podczas trwania umowy

Obowiązek zapewniania przez podmiot przetwarzający zgodności przetwarzania danych z wymogami RODO trwa przez cały okres obowiązywania umowy powierzenia. Administrator ma obowiązek tą zgodność kontrolować. Kontrola przeprowadzona przed zawarciem takiej umowy po pewnym czasie przestaje być aktualna. Wpływać na to mogą zmiany okoliczności przetwarzania, standardów rynkowych, przepisów prawa lub pojawianie się nowych zagrożeń. Warto w tym zakresie ustalić wewnętrzne zasady przeprowadzania sprawdzenia podmiotów przetwarzających. Biorąc pod uwagę to jakie procesy przetwarzania przekazujemy podmiotom zewnętrznym, jakie dane powierzamy, jak długo będzie trwała współpraca. Oraz wziąć pod uwagę z jakimi zagrożeniami może się to wiązać. W takich zasadach możemy ustalić:

  • narzędzia służące nam do weryfikacji procesora w toku współpracy (kwestionariusz weryfikacyjny, audyt, inspekcja, okresowe przekazywanie informacji);
  • częstotliwość/ terminy dokonywania sprawdzeń;
  • warunki wykorzystania poszczególnych narzędzi (kiedy wykorzystujemy jakie narzędzie);
  • warunki przeprowadzenia audytu/ inspekcji;
  • sposób dokumentowania dokonywanej weryfikacji.
Współpraca z nieodpowiednim podmiotem

Rozpoczęcie współpracy z podmiotem przetwarzającym, który nie zapewnia odpowiednich gwarancji, jest naruszeniem obowiązków administratora. Również brak weryfikacji lub brak udokumentowania jej przeprowadzenia naraża administratora na zarzut naruszenia przepisów RODO. W takim przypadku, oprócz odpowiedzialności administracyjnoprawnej wzrasta ryzyko naruszenia praw i wolności podmiotów danych. Co może skutkować dodatkowymi konsekwencjami dla administratora, a także może doprowadzić do  do nałożenia kary finansowej przez UODO.

Na Fortum Marketing and Sales Polska S.A. została nałożona administracyjna kara pieniężna w wysokości ponad 4,9 mln zł. za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego. Z kolei podmiot przetwarzający otrzymał karę w wysokości 250 tys. zł. Więcej szczegółów w linku https://uodo.gov.pl/pl/138/2304 .