Zawierane umowy powierzenia zgodnie z art. 28 RODO dotyczą w głównej mierze wykonywanych czynności na danych osobowych w ramach tzw. polecenia wydanego przez administratora podmiotowi zewnętrznemu. Najczęściej zawierane powierzenia dotyczą obsługi kadrowej, płacowej, BHP, księgowej, prowadzenia kampanii reklamowej, usług IT i innych. Administrator powierzając dane osobowe podmiotowi zewnętrznemu powinien ustalić w zawartej umowy lub innego instrumentu prawnego, warunki takiego przetwarzania. O tym wszystkim już wiemy, bowiem zakres tych uregulowań został precyzyjnie określony w art. 28 RODO.
Powierzenie danych osobowych specjalistycznej firmie nie chroni przedsiębiorców przed odpowiedzialnością prawną w przypadku ich nieautoryzowanego udostępnienia. Do takiego wniosku doszedł Sąd Najwyższy (wyrok SN z 1 czerwca 2017 r., sygn. akt I CSK 597/16). Sąd uznał, że firma telekomunikacyjna (administrator) ponosi odpowiedzialność za błędy i naruszenia zewnętrznego call ceneter. W przypadku wspomnianego wyroku, powodem był mężczyzna, klient sieci telekomunikacyjnej, który znalazł w Internecie skan swojego dowodu osobistego z obraźliwym komentarzem. W wyniku prowadzonego śledztwa okazało się, że skan oraz notatka pochodzi od pracownika zewnętrznego call center, któremu zostało powierzone przetwarzanie danych. Mimo to, mężczyzna zażądał od operatora telekomunikacyjnego zadośćuczynienia w wysokości 10 mln zł. Później dodał do swoich roszczeń także opłaty w wysokości 55 tys. zł tygodniowo.
Zgodnie z art. 28 ust. 3 lit. h) RODO administrator lub upoważniony przez administratora audytor może przeprowadzać w firmie, której powierzono (bądź administrator dopiero planuje powierzenie) przetwarzanie danych, audytu.
Na co zwrócić uwagę podejmując czynności audytowe?
- Powiadomić podmiot przetwarzający o zamiarze wszczęcia audytu. Często proponujemy, by podmiot przetwarzający przygotował jednostkową ocenę ryzyka danych osobowych dla procesu powierzenia z wykazaniem środków technicznych i organizacyjnych, które będą przedmiotem badania;
- Zwracamy szczególną uwagę, czy podmiot przetwarzający wyznaczył inspektora ochrony danych – w zależności od wielkości tego podmiotu oraz charakteru danych może okazać się, iż jest to konieczne (efekt skali – wynikający z ilości zawartych umów powierzenia);
- Czynności audytowe powinny obejmować także np. zapisy w umowie najmu biura podmiotu przetwarzającego. Jest to istotne, bowiem często okazuje się, że w umowie najmu znajdują się zapisy zezwalające właścicielowi wynajmowanej powierzchni na wejście do biura bez zezwolenia, stosownych adnotacji, itp. – za co w praktyce w przypadku incydentu, odpowiadać będzie administrator danych;
- Dokonujemy wnikliwej analizy postanowień zawartych w umowie. Jeżeli zapisy wskazują, iż pracownicy podmiotu przetwarzającego odbyli szkolenie z zakresu RODO prosimy o potwierdzenie (certyfikaty, program szkolenia, itp.);
- Dokładnie badamy prowadzony rejestr kategorii czynności przetwarzania danych osobowych (ze szczególnym uwzględnieniem miejsca, w którym fizycznie znajduje się serwer przy korzystaniu z chmury – badając możliwość dalszego transferu poza obszar EOG);
- Prosimy o przedłożenie dowodów wdrożenia RODO, jak:
- Procedury postępowania z ryzykiem
- W przypadku gdy został wyznaczony inspektor ochrony danych osobowych prosimy o dowody jego niezależności (chcąc uniknąć fikcyjnych inspektorów, tak jak miało to miejsce z ABI)
- Procedury archiwizacji oraz usuwania dokumentów zawierających dane osobowe – ma to szczególne znaczenie w przypadku, gdy administrator na mocy art. 28 ust. 3 lit. g zezwolił podmiotowi przetwarzającemu na usunięcie powierzonych danych osobowych. Pamiętaj, by w tej sytuacji podmiot przetwarzający miał podpisane podpowierzenie ze specjalistyczną firmą zajmującą się w sposób profesjonalny niszczeniem dokumentów i nośników (zazwyczaj w celach dowodowych przesyłany jest film obrazujący niszczenie powierzonych nośników i dokumentów z nr założonej plomby wraz z protokołem zniszczenia – co powinno zostać przedstawione administratorowi)
- Procedury logowania do systemów IT
- Procedury wykonywania i odtwarzania kopii zapasowych
- Procedury konserwacji i serwisowania urządzeń
- Procedury postępowania z zewnętrznymi nośnikami informacji
- Procedury ochrony przed szkodliwym oprogramowaniem
- Procedury wydawania upoważnień i poleceń przetwarzania danych oraz ich rejestracji, często okazuje się, że podmiot przetwarzający korzysta z usług personelu tymczasowego (co jest zrozumiałe), ale nie możesz jako administrator ponieść za to kosztów z tytułu rotacji tych osób lub braku ich wiedzy z zakresu ochrony danych osobowych
- Procedury nadawania uprawnień do odwrócenia pseudonimizacji – opisana w prowadzonym rejestrze i poparta stosownym umocowaniem w upoważnieniach – jeżeli twoje dane są chronione w ten sposób (pamiętaj o motywie 29 RODO) Zwróć uwagę na zapis dotyczący nieograniczonej w czasie poufności procedury! Ludzie się zmieniają, a procedury trudno zastąpić. To zbyt kosztowne!
- Umocowania prawne dla personelu sprzątającego dostępu do stref przetwarzania danych osobowych
- Procedury realizacji praw podmiotów danych
- Rejestr żądań podmiotów danych
Jeżeli powierzone dane osobowe zostały podpowierzone (kolejni podwykonawcy) – pamiętaj, by zobowiązać podmiot przetwarzający do prowadzenia audytu u tego subprocesora na analogicznych zasadach. W przyszłości korzystaj z certyfikowanych dostawców usług!
Powyżej wymienione zostały tylko niektóre z dokumentów, które powinny zostać wdrożone przez podmiot przetwarzający ale także przez administratora. Te i inne przydatne wzory dokumentów/procedur i polityki dostępne są do zakupienia na naszej stornie: https://www.rodokontrola.pl/dokumentacja-rodo/
W praktyce często spotykamy się z zapisami dotyczącymi kar umownych. Nie mniej jednak wybierając oferenta nie należy się kierować tylko i wyłącznie ceną. Z doświadczenia wiemy, że zbyt niska cena często świadczy niestety o braku wystarczającego zabezpieczenia.
Może warto wrócić do zawartych umów powierzenia, szczególnie z „majowym szale ich przesyłania” by zbadać ich zasadność i przystąpić do czynności audytowych. Pamiętać należy, iż zgodnie z art. 82 ust. 2 RODO: Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.
Zatem, czy w dalszym ciągu chcesz mieć ogólne zapisy w umowach powierzenia traktujące o ogólnej pomocy dla Administratora udzielonej przez podmiot przetwarzający w zakresie art. 32-36 RODO?
Nasze pytanie, co oznacza zapis „w miarę możliwości pomaga”? By ta pomoc nie okazała się zbyt kosztowna …..dla administratora 🙂
Polecamy Wam jeszcze grafikę, na co zwrócić uwagę wybierając dostawcę poczty e-mail: https://tiny.pl/tg48v
I nasza ostatnia uwaga – poproś swojego procesora o okazanie elektronicznej formy zawartej umowy powierzenia – pamiętaj, że zgodnie z art. 28 ust. 9 zarówno Administrator, jak i podmiot przetwarzający powinie ją mieć w tej formie.
Jeżeli chcesz być na bieżąco ze zmianami przepisów oraz wymaganiami w zakresie ochrony danych osobowych, zapisz się do naszej bazy odbiorców Newsletter’a