Obowiązki związane z powierzeniem przetwarzania danych osobowych

Autor: Malgorzata Cwynar pod red. Marcina Soczko — w kategorii Komunikaty IOD-y — 8 października 2022

08

paź
2022

Zgodnie z RODO w przypadku zawierania współpracy z dostawcą usług, w trakcie której będzie dochodzić do przetwarzania danych osobowych w imieniu administratora należy wypełnić obowiązki określone w art. 28 RODO, o których więcej napisano poniżej.

PRZETWARZANIE NA PODSTAWIE UMOWY (POWIERZENIE PRZETWARZANIA)

Obowiązek zawarcia umowy powierzenia przetwarzania będzie mógł występować nawet w  sytuacji, gdy współpraca pomiędzy administratorem a dostawcą usługi nie będzie regulowana umową o  współpracy (np. usługa realizowana będzie na podstawie zamówienia lub w oparciu o  regulamin dostawcy) oraz wtedy, gdy usługa będzie realizowana nieodpłatnie.

Kluczowym czynnikiem determinującym potrzebę zawarcia umowy powierzenia przetwarzania jest zlecenie podmiotowi zewnętrznemu wykonania w imieniu administratora konkretnych czynności przetwarzania na danych osobowych, których realizacja nie wymaga uprawnień regulowanych przepisami prawa. Co więcej, aby występował obowiązek zawarcia umowy powierzenia, usługobiorca nie musi przekazywać usługodawcy żadnych danych osobowych, np. zlecenie może obejmować zebranie danych osobowych.

Wypełnienie wymagań art. 28 RODO nie zawsze musi oznaczać zawarcia umowy powierzenia na wzorze obowiązującym w organizacji – czasem stosowne zapisy znajdują się w  regulaminie dostawcy lub można je zawrzeć w zamówieniu.

Przykłady konieczności zawarcia zapisów o powierzeniu czynności przetwarzania danych osobowych:

1) przekazanie zbioru danych pracowników w celu ich umieszczenia na pieczątkach lub wizytówkach;

2) transport dokumentów zawierających zbiory danych osobowych czy też ich niszczenie bez udziału przedstawiciela organizacji;

3) hosting serwerów internetowych (nie dotyczy usługi kolokacji).

OCENA „DOJRZAŁOŚCI” PODMIOTU PRZETWARZAJĄCEGO

Przetwarzanie danych osobowych przez podmiot przetwarzający powinno spełniać wymagania RODO, w tym chronić prawa podmiotów danych (art. 28 ust. 1 RODO) oraz spełniać wymogi bezpieczeństwa (motyw 81 Preambuły RODO). W tym celu podmiot przetwarzający jest zobowiązany wdrożyć odpowiednie środki techniczne i organizacyjne. Zaś administrator przed rozpoczęciem współpracy z potencjalnym kontrahentem powinien ocenić, czy wybrany podmiot przetwarzający rzeczywiście zapewnia gwarancje przetwarzania danych zgodnie z powyższymi wymogami.

Weryfikacji podmiotu przetwarzającego można dokonać na dwóch etapach współpracy. Pierwszej weryfikacji administrator powinien dokonać już na etapie rozpoznania konkretnego procesora. Umożliwia ona sprawdzenie, czy procesor spełnia podstawowe wymogi RODO oraz czy wdrożył wspomniane wyżej odpowiednie środki techniczne i organizacyjne. Może do tego posłużyć również ankieta weryfikacyjna, zawierająca pytania do potencjalnego podmiotu przetwarzającego. Drugi etap jest dostosowany do konkretnego podmiotu przetwarzającego, uwzględnia on specyfikę powierzanych mu czynności, a także ilość, kategorię i rodzaj przetwarzanych danych osobowych. Ankiety tego typu mogą być stosowane nie tylko na etapie wstępnej weryfikacji procesora, ale także cyklicznie podczas całego okresu współpracy. Wówczas mogą one służyć jako element aktualizacji wiedzy na temat podmiotu przetwarzającego.

Na kwestię weryfikacji podmiotu przetwarzającego składa się bardzo wiele istotnych elementów, dlatego po więcej informacji warto sięgnąć do artykułu poświęconemu tej tematyce.

UKARANE PODMIOTY

Powierzenie przetwarzania danych osobowych bez zawartej na piśmie umowy oraz brak weryfikacji podmiotu przetwarzającego może przysporzyć wiele problemów. Przekonał się o tym w ostatnim czasie Sułkowicki Ośrodek Kultury, na który Prezes UODO decyzją z dnia 7 września br. nałożył administracyjną karę pieniężną w wysokości 2,5 tys. zł. Powodem ukarania było powierzenie przetwarzania danych osobowych bez zawartej na piśmie umowy powierzenia, a także bez przeprowadzenia weryfikacji podmiotu przetwarzającego.

Nałożona na Sułkowicki Ośrodek Kultury kara „nie bije rekordów” w zestawieniu najwyższych kar nałożonych przez polski organ nadzorczy. Jednak Prezes UODO wydając decyzje nakładające kary pieniężne niejednokrotnie podkreślał, że wymogi dotyczące powierzenia przetwarzania danych osobowych nie „martwymi przepisami”. Innym przykładem jest administracyjna kara pieniężna w rekordowej wysokości prawie 5 mln. zł. nałożona decyzją z dnia 19 stycznia 2022 r. na Fortum Marketing and Sales Polska S.A., która dotyczyła m.in. braku weryfikacji podmiotu przetwarzającego (została ona szczegółowo opisana w Komunikacie IOD-y).

Uwaga! Warto skonsultować z IOD, czy nie będą potrzebne zapisy o powierzeniu przetwarzania danych osobowych, gdy wcześniej ich nie było w podobnej umowie lub w przypadku zamawiania nowej usługi.

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.