Dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą oraz metodą zapewniającą odpowiednie bezpieczeństwo danych osobowych, a tym samym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.
Bardzo ważne z punktu widzenia administratora jest to, jakiemu podmiotowi powierza on przetwarzanie danych osobowych. Ciężko uznać, aby samo oświadczenie podmiotu przetwarzającego w tej sprawie było wystarczające dla weryfikacji przez administratora.
Przepisy RODO jasno stanowią, że jeżeli przetwarzanie ma być dokonywane w imieniu administratora, to korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą.
Umowa lub inny instrument prawny, na podstawie którego odbywa się przetwarzanie danych stanowią w szczególności, że podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie inspekcji w czasie której, elementami które należy wziąć pod uwagę, powinny być:
- wiedza fachowa podmiotu przetwarzającego (np. wiedza techniczna w zakresie środków bezpieczeństwa i naruszeń ochrony danych);
- wiarygodność podmiotu przetwarzającego;
- zasoby podmiotu przetwarzającego oraz stosowanie przez podmiot przetwarzający zatwierdzonego kodeksu postępowania lub mechanizmu certyfikacji
a także fakt, iż administrator jest odpowiedzialny za ocenę gwarancji udzielonych przez podmiot przetwarzający i powinien być w stanie udowodnić, że wziął pod uwagę wszystkie elementy przewidziane w RODO.
Stanowisko administratora, czy gwarancje są wystarczające, jest rodzajem oceny ryzyka, która w znacznym stopniu zależy od przetwarzania powierzonego podmiotowi przetwarzającemu i musi być dokonywana indywidualnie dla każdego przypadku, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania, a także zagrożeń dla praw i wolności osób fizycznych. W tej kwestii zaleca się zapoznanie ADO z odpowiednią dokumentacją (np. polityką prywatności, warunkami świadczenia usług, rejestrem czynności przetwarzania, sprawozdaniami z zewnętrznych audytów ochrony danych) Brak weryfikacji podmiotu przetwarzającego oraz jego gwarancji dla przetwarzania zgodnie z przepisami prawa może wiązać się z konsekwencjami dla osób fizycznych, których dane osobowe zostały powierzone podmiotowi przetwarzającemu, np. w postaci utraty danych osobowych. Wobec powyższego decyzja, komu administrator ma powierzyć przetwarzanie danych osobowych nie może być podejmowana bezpodstawnie. Dopiero po zbadaniu kompetencji podmiotu przetwarzającego, administrator może przystąpić do zawarcia stosownej umowy powierzenia.
Zatem domaganie się przez administratora należytego udokumentowania określonych oświadczeń jest jednym z jego uprawnień przy dokonywaniu wyboru podmiotu, któremu chce powierzyć dane osobowe. Co ważne, należy pamiętać, że obowiązki administratora w zakresie zapewnienia powierzenia przetwarzania danych osobowych podmiotowi spełniającemu wymogi RODO, trwają co najmniej tak długo, jak okres powierzenia.
Podstawa Prawna:
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).