Mimo upływu 4 lat od rozpoczęcia stosowania przepisów RODO administratorzy nadal mają problem z realizacją prostego obowiązku, jakim jest zawieranie umów powierzenia danych osobowych do przetwarzania oraz kontrolą procesora. Co warto na ten temat wiedzieć?
Podsumowanie:
- Zawarcie umowy powierzenia danych do przetwarzania nie jest jedynym obowiązkiem administratora podczas angażowania procesora.
- Administrator musi kontrolować procesora – jest to obowiązek administratora.
- Zdaniem PUODO, w umowie powierzenia nie ma miejsca na zapisy, które uniemożliwiają administratorowi realizację jego obowiązków.
W jednej ze swoich ostatnich aktywności UODO postanowił ukarać kontrolowany podmiot karą w wysokości 2500 zł. Co istotne, była to jedna z niższych kar w historii decyzji UODO. Zapewne jej uzasadnieniem był fakt, że ukaranym podmiotem był ośrodek kultury. Dla celów niniejszej publikacji kluczowa jest jednak przyczyna nałożenia tej kary.
Kiedy należy zawierać umowę powierzenia danych osobowych?
Mimo upływu 4 lat od rozpoczęcia stosowania przepisów RODO administratorzy nadal mają problem z realizacją prostego obowiązku, jakim jest zawieranie umów powierzenia danych osobowych do przetwarzania. Rzeczony ośrodek kultury zlecił prowadzenie ksiąg rachunkowych, ewidencji i sporządzania raportów (w obszarze finansów, podatków oraz ZUS), jak i przechowywanie sporządzonej dokumentacji, zewnętrznemu podmiotowi. W artykułach z zakresu RODO (publikowanych m.in. w newsletterze Grant Thornton w przeszłości) wielokrotnie zwracaliśmy uwagę na to, kiedy należy zawierać umowę powierzenia danych osobowych, o której mowa w art. 28 RODO. Przypomnę, że jest to konieczne m.in., gdy:
- podmiot, któremu zlecamy czynności przetwarzania jest od nas odrębny organizacyjnie,
- podmiot, któremu zlecamy przetwarzanie może od nas przyjąć wiążące wskazówki odnośnie realizacji zadania (nie istnieje wymagana ustawowo niezależność – tj. jak np. podczas prac biegłych rewidentów),
- podmiot, któremu zlecamy przetwarzanie nie ma ustawowych obowiązków archiwizacji powierzonych mu danych i może je usunąć na nasze polecenie po wykonaniu usługi.
Nasz ekspert Kacper Rączkowiak jest do Twojej dyspozycji.
Jaki jest powód braku umów powierzenia?
Firmy nadal nie posiadają świadomości swoich obowiązków prawnych, a w tym potrzeby zawarcia umów powierzenia danych do przetwarzania. Może to dziwić, zwłaszcza, że umowy powierzenia były znane już przed wejściem w życie przepisów RODO, tj. na gruncie uchylonej ustawy z roku 1997.
Druga prawdopodobna przyczyna, to brak uregulowania przepływu informacji w firmach. Są to sytuacje, w których angażujemy nowych odbiorców danych, ale informacje o tym fakcie nie spływają do osoby wyznaczonej do obsługi obszaru ochrony danych osobowych (i/lub IOD), prawnika itp. Możemy być pewni, że firma angażująca dostawców usług w ten sposób, nie prowadzi także rejestru czynności przetwarzania.
Trzecią przyczyną braku umowy może być także błędne określenie łączącej nas relacji. Często można się spotkać z opiniami, że pewne czynności techniczne, dla których ujawnienie danych także jest koniecznie, nie jest czynnością przetwarzania danych osobowych. Takie stanowiska stoją w opozycji do poglądu UODO, który m.in. wskazał na obowiązek zawierania umów powierzenia przy realizacji usług fumigacji, a te z kolei wiążą się z przekazaniem dokumentów (więcej na ten temat TUTAJ ).
Dostawca usługi musi gwarantować przetwarzanie zgodne z RODO
Drugi, element decyzji wydanej przez UODO odnośnie wspomnianego ośrodka kultury, odnosił się do braku kontroli i potwierdzenia, że dostawca usługi zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych było zgodne z RODO. Przypomnijmy, że takie sprawdzenie jest obowiązkiem administratora. Zgodnie ze stanowiskiem PUODO z 7 października 2019 r.:
Sprawdzenie środków technicznych i organizacyjnych powinno odbyć się przed zaangażowaniem danego dostawcy usług. Trzeba pamiętać o tym, że kontrola musi być udokumentowana, by móc wykazać tzw. rozliczalność przed organem nadzorczym.
Jak realizować kontrolę procesora?
W przypadku tzw. dużych graczy, których umowy nie podlegają negocjacji, szukajmy informacji o aktualnej certyfikacji, np. wg ISO 27001 lub wg innego rodzaju aktualnej certyfikacji z obszaru ochrony informacji. Coraz częściej dostawcy publikują wykaz wdrożonych środków technicznych i organizacyjnych. Pamiętajmy jednak, że taki wykaz musi pozostawać w związku z realizowaną dla nas usługą i powinien podlegać dalszej ocenie oraz weryfikacji. Możemy także sformułować własny katalog oczekiwanych informacji o wdrożonych środkach technicznych i organizacyjnych, np. oparty o wynik oceny ryzyka, który następnie ma wypełnić angażowany przez nas procesor.
Jednocześnie należy pamiętać, by w łączącej strony umowie, nie znalazły się zapisy, które ograniczają nasze możliwości kontrolne. W ten sposób ograniczamy możliwość wykonania obowiązków ustawowych nakładanych przez RODO na administratora danych. Sam fakt, iż procesor próbuje ograniczyć możliwość realizacji obowiązków ustawowych administratora, powinien być dla nas czerwonym światłem i miejscem postawienia pytania: Czy jest to właściwy dostawca usług dla naszej firmy? Zgodnie ze stanowiskiem UODO, zapisy ograniczające nie powinny znajdować się w umowach powierzenia danych osobowych do przetwarzania, tj. – jak ocenił UODO:
Pamiętajmy, że obowiązek administratora, to także kontrola w trakcie realizowanej współpracy. W tym celu ustawodawca unijny, m.in. w art. 28 ust. 3 lit. h RODO, zobowiązał podmiot przetwarzający do udostępniania administratorowi wszelkich informacji potwierdzających spełnienie wymogów RODO.
AUTOR: Kacper Rączkowiak