POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

powierzenie przetwarzania

RODO obowiązuje już przeszło 4 lata, a jak widać na podstawie ostatnich przykładów z życia wziętych nie wszyscy administratorzy danych osobowych wiedzą jakie spoczywają na nich obowiązki. Decyzja Prezesa Urzędu Ochrony Danych Osobowych z 7 września br. dotycząca naruszenia przepisów art. 28 RODO (link do decyzji: https://www.uodo.gov.pl/decyzje/DKN.5131.29.2022) wyraźnie pokazuje, że ta świadomość jest na niskim poziomie. Wydaje się niemożliwe do uwierzenia, że nadal są organizacje nieposiadające Inspektora Ochrony Danych (lub przynajmniej osoby znającej się na przepisach dotyczących ochrony danych), aby nie podpowiedzieć administratorowi co powinien zrobić. Prezes UODO poprzez nałożenie administracyjnej kary pieniężnej na Sułkowicki Ośrodek Kultury potwierdził, że prawidłowe przetwarzanie danych osobowych jest istotne. 

Właściwe podejście do procesu przetwarzania danych

Wspomniany brak osób znających przepisy wynikające z RODO może powodować nie tylko kary nakładane przez UODO, ale również skargi obywateli, co może wiązać się z utratą wiarygodności. Każdy administrator powinien podejść do każdego zagadnienia na gruncie RODO bardzo poważnie. Powierzenie przetwarzania danych uregulowane jest w RODO we wspomnianym już art. 28. Artykuł ten dokładnie opisuje, co powinien zrobić administrator, aby być zgodnym z wymaganiami prawa. Dodatkowo zasada rozliczalności RODO nakłada na administratora obowiązek posiadania dowodów spełnienia wymagań. Wspomniana decyzja Prezesa UODO wskazuje, że administrator nie posiadał pisemnej umowy powierzenia, czyli nie miał dowodu. Do każdego procesu w ramach przetwarzania danych osobowych trzeba podchodzić z rozwagą, a co najważniejsze ze znajomością i rozumieniem przepisów. W przypadku powierzania danych warto, aby w organizacji została opracowana i wdrożona Procedura powierzenia przetwarzania danych osobowych. Pamiętajmy, że decyzję o powierzeniu przetwarzania danych osobowych podejmuje wyłącznie administrator na wniosek osoby prowadzącej negocjacje. 

Zasady powierzania danych osobowych

Świadomy administrator wie, że aby wszystko w organizacji funkcjonowało należy postawić na szkolenie kadry. Wyszkolony pracownik wie, kiedy i jak ma postępować. Posiadanie właściwej procedury na pewno ułatwi to postępowanie. Wybór podmiotu przetwarzającego nie powinien opierać się tylko na zasadzie „najniższa cena” jak to się odbywa w większości przypadków. Podmioty świadczące usługi nastawiające się na najniższą cenę często nie zagwarantują wdrożenia odpowiednich środków technicznych. Jak wspomniano powyżej to na administratorze spoczywa obowiązek dowodowości w tym procesie. Nie tylko powinniśmy wybierać podmiot świadczący dla nas usługi w oparciu o cenę czy referencje, ale również weryfikować go. Weryfikację można zacząć od tak prostego zadania jak przeprowadzenie tzw. badania „due diligence RODO”, na podstawie którego uzyskamy przynajmniej częściowe informacje. To badanie można przeprowadzić w formie ankiety. 

Podsumowanie

Nie zapominajmy, że jeżeli wynik badania podmiotu przetwarzającego będzie dla niego korzystny, to administrator podejmując decyzję o nawiązaniu z nim współpracy. Powinien wtedy podpisać z nim nie tylko umowę na współpracę, ale również umowę powierzenia danych osobowych. 

Brak znajomości przepisów lub zbyt lekkie podchodzenie do nich może wiązać się z przykrymi konsekwencjami dla administratorów danych, jak wspomniana wcześniej kara nałożona przez Prezesa UODO. Wszystkim administratorom, którzy jeszcze nie podeszli do tematu, polecamy zapoznanie się z naszymi usługami.