Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Zarówno administrator, jak również podmioty przetwarzające mają obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne w celu zabezpieczenia danych osobowych.
Podmiot przetwarzający
Podmiot przetwarzający (zwany też „procesorem”) to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe na zlecenie administratora. W praktyce przetwarzanie danych przez ten podmiot sprowadza się do wykonywania czynności usługowych na rzecz administratora danych. Wspólne prawa i obowiązki pomiędzy podmiotem przetwarzającym a administratorem określa umowa powierzenia danych osobowych. Brak zawarcia takiej umowy jest naruszeniem rozporządzenia RODO i prowadzi do kar pieniężnych.
Podmiot przetwarzający a gwarancja
Podmiot przetwarzający powinien zapewnić wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Wskazać należy, że samo podpisanie umowy powierzenia przetwarzania danych osobowych, bez dokonania właściwej oceny podmiotu przetwarzającego nie może być uznane za realizację przez administratora danych obowiązku przeprowadzenia postępowania weryfikującego podmiot przetwarzający.
Gwarancja udzielona przez podmiot przetwarzający powinna obejmować:
- gwarancję bezpieczeństwa danych – podmiot przetwarzający powinien stosować odpowiednie środki bezpieczeństwa, aby chronić dane osobowe przed nieautoryzowanym dostępem, utratą, kradzieżą czy naruszeniem,
- gwarancję przetwarzania danych osobowych zgodne z prawem – podmiot przetwarzający zobowiązuje się do przetwarzania danych zgodnie z obowiązującymi przepisami prawa dotyczącymi ochrony danych osobowych,
- gwarancję zgłaszania naruszeń – podmiot przetwarzający powinien niezwłocznie poinformować administratora o ewentualnym naruszeniu danych osobowych, co pozwala na podjęcie odpowiednich działań w celu ograniczenia szkód, zarówno po stronie podmiotu przetwarzającego, jak i administratora,
- gwarancję przetwarzania w określonych celach – podmiotu przetwarzający powinien korzystać z danych osobowych tylko w sposób zgodny z określonymi celami przetwarzania.
Weryfikacja podmiotu przetwarzającego przez administratora
Do obowiązków administratora danych osobowych należy zweryfikowanie działalności podmiotu przetwarzającego, w taki sposób, aby móc ocenić, czy przetwarzanie przez niego danych nie doprowadzi do naruszenia ochrony danych osobowych, naruszenia umowy lub przepisów RODO. Odpowiedni podmiot przetwarzający powinien charakteryzować się:
- fachową wiedzą i doświadczeniem,
- wiarygodnością (np. certyfikaty ISO)
- zasobami pozwalającymi na zapewnieniu ciągłości, poufności, integralności, dostępności i odporności systemów oraz usług przetwarzania.
Powyższe wytyczne mogą pomóc administratorowi ocenić gwarancje podmiotu przetwarzającego w zakresie wdrożenia środków technicznych i organizacyjnych zapewniających właściwe stosowanie przepisów rozporządzenia RODO.
Kara za współpracę z niezweryfikowanym procesorem
Rozpoczęcie współpracy z podmiotem przetwarzającym, który nie zapewnia odpowiednich gwarancji należy do naruszeń przepisów rozporządzenia RODO. Podobnie jak brak weryfikacji podmiotu przetwarzającego lub brak udokumentowania jej przeprowadzenia.
W ostatnim czasie Urząd Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości ponad 33 tys. zł na administratora, który utracił poufność danych osobowych, z powodu braku wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych, zarówno przez administratora jak i podmiot przetwarzający. Brak weryfikacji, wobec niewdrożenia odpowiednich środków technicznych i organizacyjnych skutkował w tej sprawie wystąpieniem przedmiotowego naruszenia.