Jesteś już użytkownikiem programów LEX?

Jak administrator powinien weryfikować podmiot przetwarzający?

04 lipca 2022

Niska cena i efektywność to cechy, których administrator danych najczęściej szuka wybierając swoich podwykonawców (podmioty przetwarzające). Nie może on jednak zapominać o tym, że taki podmiot musi realizować swoje usługi zgodnie z RODO. Z kolei obowiązkiem administratora jest weryfikacja procesorów i wybór tego, który odpowiednio dba o ochronę danych osobowych.

Ponad 4,9 mln złotych - tyle wyniosła rekordowa administracyjna kara pieniężna w sprawie spółki, która wg Prezesa UODO zaniedbała weryfikację podmiotu przetwarzającego. Sam procesor również nie uniknął odpowiedzialności. Niemniej jednak to administrator powinien był skontrolować jakość i adekwatność środków technicznych i organizacyjnych wdrożonych przez procesora. Eksperci podkreślają, że sprawa Fortum Marketing jest przestrogą dla innych - Prezes UODO bardzo poważnie podchodzi do wymogu z art. 28 ust. 1 RODO.

Administrator mądry po szkodzie

Zanim administrator powierzy dane procesorowi, powinien sprawdzić, czy spełnia on kryteria wiedzy fachowej, o której mowa w motywie 81 RODO. Ekspertka, r. pr. Patrycja Szurmak z Kancelarii Traple Konarski Podrecki & Wspólnicy, za wyznacznik wspomnianego kryterium uznaje m.in.:

  • posiadanie udokumentowanego doświadczenia w świadczeniu usług powierzenia danych;
  • wyznaczenie inspektora ochrony danych lub innej osoby/ działu wyłącznie odpowiedzialnego za nadzór nad ochroną danych osobowych w organizacji;
  • przeszkolenie osób skierowanych do obsługi administratora z zakresu ochrony danych.

Poza odpowiednią wiedzą, o profesjonalizmie procesora świadczy również posiadanie odpowiednich zasobów i bycie wiarygodnym na rynku.  

Skuteczna kontrola - to znaczy jaka?

Wybór odpowiedniego procesora jest zadaniem kluczowym, jednak co w przypadku, kiedy mamy już zawartą umowę powierzenia, ale nie zadbaliśmy wcześniej o odpowiednią weryfikację procesora pod kątem ochrony danych osobowych?

Mimo powierzenia danych, to administrator decyduje o celu i sposobie przetwarzania danych. Powinien aktywnie uczestniczyć we wszystkich procesach, w szczególności wtedy, gdy powierza nowe czynności. Administrator powinien kontrolować czy środki wcześniej przyjęte przez procesora nadają się do nowych procesów.

Zgodnie z art. 28 ust. 3 RODO, procesor powinien gwarantować wdrożenie odpowiednich środków technicznych i organizacyjnych. Radca prawny Patrycja Szurmak podkreśla, że przeprowadzanie audytu nie jest uprawnieniem administratora, lecz jego obowiązkiem, a zatem bez cyklicznie przeprowadzanych kontroli nie można mówić o jej skuteczności.

Praktycznym rozwiązaniem jest przeprowadzenie kontroli za pomocą kwestionariusza pytań. Lista weryfikacyjna w łatwy sposób pozwoli administratorowi uzyskać informacje od procesora na temat stanu zgodności rozwiązań technicznych i organizacyjnych z RODO. W LEX Ochrona Danych Osobowych znajdziesz ogólny wzór takiej listy kontrolnej, który możesz z łatwością dostosować do specyfiki Twojej organizacji.

Jak zabezpieczyć się przed odpowiedzialnością za błędy procesora?

Administrator danych może zawierając umowę powierzenia umieścić w niej szereg zapisów, które pomogą zabezpieczyć jego interes prawny. Mogą to być m.in. zapisy dotyczące kar umownych czy też regresu. O tym, jakie inne instrumenty cywilnoprawne może wykorzystać w umowie administrator oraz czy warto zainwestować w tzw. polisy RODO mówiła r. pr. Patrycja Szurmak podczas szkolenia online. Nagranie z tego szkolenia znajdziesz w LEX Ochrona Danych Osobowych.

W LEX ODO dostępnych jest więcej nagrań ze szkoleń, komentarzy eksperckich, wzorów dokumentów i dobrych praktyk dotyczących tematyki umów powierzenia. Zapoznaj się z naszą ofertą.

Jak administrator powinien weryfikować podmiot przetwarzający?
Julia Magulska

Redakcja Publikacji Elektronicznych

 

Nie korzystasz jeszcze z programów LEX?
Znajdź rozwiązanie dla siebie.

Zamów prezentacje produktów LEX, dzięki której poznasz pełne możliwości serwisu oraz uzyskasz informacje o pakietach spełniających Twoje potrzeby.