Mimo upływu 4 lat od rozpoczęcia stosowania przepisów RODO administratorzy nadal mają problem z realizacją prostego obowiązku, jakim jest zawieranie umów powierzenia danych osobowych do przetwarzania oraz kontrolą procesora. Co warto na ten temat wiedzieć?

W jednej ze swoich ostatnich aktywności UODO postanowił ukarać kontrolowany podmiot karą w wysokości 2500 zł. Co istotne, była to jedna z niższych kar w historii decyzji UODO. Zapewne jej uzasadnieniem był fakt, że ukaranym podmiotem był ośrodek kultury. Dla celów niniejszej publikacji kluczowa jest jednak przyczyna nałożenia tej kary.

Kiedy należy zawierać umowę powierzenia danych osobowych?

Mimo upływu 4 lat od rozpoczęcia stosowania przepisów RODO administratorzy nadal mają problem z realizacją prostego obowiązku, jakim jest zawieranie umów powierzenia danych osobowych do przetwarzania. Rzeczony ośrodek kultury zlecił prowadzenie ksiąg rachunkowych, ewidencji i sporządzania raportów (w obszarze finansów, podatków oraz ZUS), jak i przechowywanie sporządzonej dokumentacji, zewnętrznemu podmiotowi. W artykułach z zakresu RODO (publikowanych m.in. w newsletterze Grant Thornton w przeszłości) wielokrotnie zwracaliśmy uwagę na to, kiedy należy zawierać umowę powierzenia danych osobowych, o której mowa w art. 28 RODO. Przypomnę, że jest to konieczne m.in., gdy:

  • podmiot, któremu zlecamy czynności przetwarzania jest od nas odrębny organizacyjnie,
  • podmiot, któremu zlecamy przetwarzanie może od nas przyjąć wiążące wskazówki odnośnie realizacji zadania (nie istnieje wymagana ustawowo niezależność – tj. jak np. podczas prac biegłych rewidentów),
  • podmiot, któremu zlecamy przetwarzanie nie ma ustawowych obowiązków archiwizacji powierzonych mu danych i może je usunąć na nasze polecenie po wykonaniu usługi.
Masz pytanie lub wątpliwość?

Nasz ekspert Kacper Rączkowiak jest do Twojej dyspozycji.

Jaki jest powód braku umów powierzenia?

Firmy nadal nie posiadają świadomości swoich obowiązków prawnych, a w tym potrzeby zawarcia umów powierzenia danych do przetwarzania. Może to dziwić, zwłaszcza, że umowy powierzenia były znane już przed wejściem w życie przepisów RODO, tj. na gruncie uchylonej ustawy z roku 1997.

Druga prawdopodobna przyczyna, to brak uregulowania przepływu informacji w firmach. Są to sytuacje, w których angażujemy nowych odbiorców danych, ale informacje o tym fakcie nie spływają do osoby wyznaczonej do obsługi obszaru ochrony danych osobowych (i/lub IOD), prawnika itp. Możemy być pewni, że firma angażująca dostawców usług w ten sposób, nie prowadzi także rejestru czynności przetwarzania.

Trzecią przyczyną braku umowy może być także błędne określenie łączącej nas relacji. Często można się spotkać z opiniami, że pewne czynności techniczne, dla których ujawnienie danych także jest koniecznie, nie jest czynnością przetwarzania danych osobowych. Takie stanowiska stoją w opozycji do poglądu UODO, który m.in. wskazał na obowiązek zawierania umów powierzenia przy realizacji usług fumigacji, a te z kolei wiążą się z przekazaniem dokumentów (więcej na ten temat TUTAJ ).

Dostawca usługi musi gwarantować przetwarzanie zgodne z RODO

Drugi, element decyzji wydanej przez UODO odnośnie wspomnianego ośrodka kultury, odnosił się do braku kontroli i potwierdzenia, że dostawca usługi zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych było zgodne z RODO. Przypomnijmy, że takie sprawdzenie jest obowiązkiem administratora. Zgodnie ze stanowiskiem PUODO z 7 października 2019 r.:

Administrator musi więc szczególnie starannie zweryfikować, czy podmiot, któremu zamierza on powierzyć przetwarzanie danych osobowych, dysponuje koniecznymi w tym celu środkami i daje odpowiednie gwarancje przestrzegania obowiązujących przepisów prawa.

Sprawdzenie środków technicznych i organizacyjnych powinno odbyć się przed zaangażowaniem danego dostawcy usług. Trzeba pamiętać o tym, że kontrola musi być udokumentowana, by móc wykazać tzw. rozliczalność przed organem nadzorczym.

Skorzystaj z naszych usług w zakresie: Ochrona danych osobowych (RODO)
Dowiedz się więcej

Jak realizować kontrolę procesora?

W przypadku tzw. dużych graczy, których umowy nie podlegają negocjacji, szukajmy informacji o aktualnej certyfikacji, np. wg ISO 27001 lub wg innego rodzaju aktualnej certyfikacji z obszaru ochrony informacji. Coraz częściej dostawcy publikują wykaz wdrożonych środków technicznych i organizacyjnych. Pamiętajmy jednak, że taki wykaz musi pozostawać w związku z realizowaną dla nas usługą i powinien podlegać dalszej ocenie oraz weryfikacji. Możemy także sformułować własny katalog oczekiwanych informacji o wdrożonych środkach technicznych i organizacyjnych, np. oparty o wynik oceny ryzyka, który następnie ma wypełnić angażowany przez nas procesor.

Jednocześnie należy pamiętać, by w łączącej strony umowie, nie znalazły się zapisy, które ograniczają nasze możliwości kontrolne. W ten sposób ograniczamy możliwość wykonania obowiązków ustawowych nakładanych przez RODO na administratora danych. Sam fakt, iż procesor próbuje ograniczyć możliwość realizacji obowiązków ustawowych administratora, powinien być dla nas czerwonym światłem i miejscem postawienia pytania: Czy jest to właściwy dostawca usług dla naszej firmy? Zgodnie ze stanowiskiem UODO, zapisy ograniczające nie powinny znajdować się w umowach powierzenia danych osobowych do przetwarzania, tj. – jak ocenił UODO:

Zatem jakiekolwiek inne postanowienia umowy powierzenia, które w istocie ograniczały ww. prawa administratora należałoby uznać za niezgodne z RODO. Podobnie należy ocenić utrudnianie lub ograniczanie administratorowi możliwości przeprowadzania kontroli u podmiotu przetwarzającego lub ograniczanie jej zakresu.

Pamiętajmy, że obowiązek administratora, to także kontrola w trakcie realizowanej współpracy. W tym celu ustawodawca unijny, m.in. w art. 28 ust. 3 lit. h RODO, zobowiązał podmiot przetwarzający do udostępniania administratorowi wszelkich informacji potwierdzających spełnienie wymogów RODO.

Porozmawiajmy o Twoich wyzwaniach

Świadczymy usługi w zakresie Ochrona danych osobowych (RODO)

Skontaktujmy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

Poproś o kontakt

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.