Anna Bartosiak dla Rynku Prawniczego: „Powierzenie danych osobowych w praktyce, czyli jak bezpiecznie zaangażować procesora”
Zgodnie z RODO, przekazanie danych osobowych podmiotom przetwarzającym, zwanym procesorami, wiąże się z wieloma obowiązkami. Głównym wymogiem jest zawarcie umowy powierzenia przetwarzania, która formalizuje współpracę, lecz nie zwalnia administratora danych z wszelkiej odpowiedzialności związanej z powierzeniem. Administratorzy regularnie zapominają o istotnych aspektach związanych z powierzeniem danych, takich jak przedkontraktowa weryfikacja procesora czy bieżące monitorowanie zgodności z RODO. Co powinni zrobić? Tę kwestię na łamach Rynku Prawniczego wyjaśnia adw. Anna Bartosiak. Zapraszamy serdecznie do lektury.
Pierwszym krokiem w procesie jest weryfikacja potencjalnego procesora. Przed podpisaniem umowy warto przeanalizować dostępne informacje na temat procesora, przeprowadzić audyt weryfikacyjny, w tym skorzystać ze szczegółowego kwestionariusza oceny, który pomoże sprawdzić, czy procesor spełnia wymogi RODO. Kwestionariusz ten powinien obejmować kwestie takie jak odpowiednie miejsce i sposób przetwarzania danych, obowiązywanie u potencjalnego procesora odpowiednich procedur bezpieczeństwa danych, posiadanie certyfikatów zgodności oraz przeprowadzanie audytów bezpieczeństwa.
Kluczowym etapem jest negocjacja umowy powierzenia przetwarzania danych. Umowa musi spełniać wymagania art. 28 RODO i precyzyjnie regulować prawa i obowiązki stron dotyczące w szczególności audytów, podpowierzenia danych oraz procedury zgłaszania naruszeń ochrony danych. Ważne jest, aby umowa szczegółowo określała zakres powierzonych danych, a zobowiązania i prawa stron były jasno określone.
Po zawarciu umowy, administrator jest zobowiązany do regularnego monitorowania przetwarzania danych osobowych procesora i upewnienia się, że nadal spełnia on wymogi RODO. Obejmuje to przeprowadzanie audytów oraz weryfikację zgodności z umową. Należy także pamiętać, że zakończenie współpracy z procesorem nie oznacza jedynie rozwiązania umowy. Dane osobowe powinny być zwrócone lub usunięte zgodnie z instrukcją administratora, a cały proces powinien zostać odpowiednio udokumentowany.
Niedopełnienie tych obowiązków może prowadzić do poważnych konsekwencji finansowych. Przykładem jest decyzja PUODO ze stycznia 2022 roku, który za naruszenie obowiązków związanych z weryfikacją procesora nałożył rekordową karę przekraczającą 4,9 miliona złotych.
Jakie kroki należy podjąć przed podpisaniem umowy powierzenia przetwarzania danych? Co powinno znaleźć się w umowie powierzenia przetwarzania danych? Co należy zrobić z danymi osobowymi po zakończeniu współpracy z procesorem?
Zapraszamy serdecznie do lektury!