Weryfikacja procesora danych osobowych znów pod lupą PUODO

Jak ważna jest weryfikacja, czy podmiot przetwarzający gwarantuje odpowiednie bezpieczeństwo danych osobowych, podkreślił ostatnio (po raz kolejny) Prezes Urzędu Ochrony Danych Osobowych. Tym razem przypomniał o tym przy okazji decyzji nakładającej karę na Sułkowicki Ośrodek Kultury (SOK).

Naruszenie podstawowych obowiązków administratora

Postępowanie PUODO wobec SOK wykazało, że Ośrodek, pomimo zlecenia podmiotowi zewnętrznemu obsługi kadrowo-płacowej oraz rachunkowej, nie zawarł z nim umowy powierzenia danych do przetwarzania. Dostawca usług doprowadził do trwałej utraty dostępu do części danych 30 pracowników SOK. Ośrodek bez umowy powierzenia nie miał żadnych instrumentów, które pozwalałyby mu na egzekwowanie od dostawcy realizacji jego obowiązków jako procesora.

Tymczasem, gdy administrator danych osobowych planuje rozpoczęcie współpracy z podmiotem, który w jego imieniu będzie przetwarzał dane osobowe, zawarcie umowy powierzenia danych do przetwarzania, po ponad 4 latach od wejścia w życie RODO, wydaje się być oczywistością.

Umowa nie powinna jednak być jedynie „kalką” postanowień rozporządzenia, na co wielokrotnie zwracały uwagę europejskie organy ochrony danych. Zaleca się, aby została zawarta przy wykorzystaniu standardowych klauzul umownych (SCC), zatwierdzonych przez Komisję Europejską. W przypadkach, gdy współpraca ma wiązać się z transferem danych poza Europejski Obszar Gospodarczy do państw, które nie zapewniają wystarczającego stopnia ochrony danych, zastosowanie SCC będzie obowiązkowe.

Umowa powierzenia to za mało

Zawarcie umowy powierzenia, nawet z zastosowaniem SCC to jedynie niezbędne minimum, które zabezpiecza interesy administratora, np. na wypadek incydentu ochrony danych.

Jak wskazał PUODO w wydanej decyzji: Dopiero po odpowiednio wnikliwym zbadaniu kompetencji i adekwatności wybranego podmiotu przetwarzającego (…), administrator może przystąpić do zawarcia stosownej umowy powierzenia.

PUODO stwierdził, że ze względu na ciążący na administratorze obowiązek wykazania działania zgodnie z przepisami (tzw. zasada rozliczalności) ważne jest gruntowne zbadanie, jakiemu podmiotowi (i na jakiej podstawie) powierza przetwarzanie danych osobowych i jakie zapewnia dla nich gwarancje bezpieczeństwa.

Etap wykonania umowy – niemniej istotny

Zawarcie umowy powierzenia nie jest ostatnim etapem weryfikacji. Administrator powinien stale kontrolować zgodność działań procesora z postanowieniami umowy, przepisami PUODO oraz deklaracjami dotyczącymi stosowanych organizacyjnych i technicznych środków bezpieczeństwa.

W tym celu administrator powinien przeprowadzać audyty i kontrole, czy zobowiązać procesora do cyklicznego poddawania się zewnętrznym testom i raportowania ich wyników.

Jeśli szukają Państwo skutecznych narzędzi do badania compliance procesora, jak np. procedura weryfikacji podmiotu przetwarzającego – zachęcamy do kontaktu z naszymi doradcami.

Kontakt:

Zuzanna Prandecka-Walek
Senior Associate, adwokat | OW Legal
zuzanna.prandecka-walek@olesinski.com