Nie jest niczym nowym, że administrator odpowiada za wybór podmiotu przetwarzającego. Taka odpowiedzialność wynika z art. 28 ust. 1 RODO. Często administrator ma bardzo wą- skie pole do manewru, jeśli chodzi o wybór procesora czy też narzucenie mu „swojej woli” w zakresie postanowień umowy powierzenia. Niejednokrotnie to administrator jest w ekono- micznie o wiele słabszej pozycji aniżeli wielcy dostawcy usług (w szczególności ci międzyna- rodowi), z którymi nie tylko niemalże niemożliwe jest ustalenie indywidualnych warunków przetwarzania oraz obowiązków procesora, ale nawet zawarcie samej umowy powierzenia.
Jednak dzisiaj nie o tym – przyjmijmy, że pozycja administratora i procesora jest w miarę równa i ad- ministrator rzeczywiście ma ekonomiczny i organizacyjny wpływ na określenie postanowień umowy powierzenia oraz wybór odpowiedniego procesora. Na co należy więc zwrócić uwagę?
Pierwszym krokiem powinna być sama weryfikacja biznesowa naszego kontrahenta. Musimy naj- pierw po prostu chcieć nawiązać z nim współpracę. Niby banał, ale każdorazowo, gdy zawieramy z kimś umowę zasięgamy opinii albo czytamy je w Internecie. Wbrew pozorom, takie opinie bardzo często mogą nam już coś powiedzieć o stosowaniu przez potencjalnego procesora wymogów RODO. Jeżeli w powtarzających się opiniach czytamy, że firma jest nierzetelna, dochodzi u niej do częstych awarii, braku dostępności usługi, to może nam to dać do myślenia, czy aby na pewno proces organi- zacyjny u naszego badanego procesora jest odpowiednio ułożony.
Drugi krok to już same negocjacje umowne. Z pewnością trzeba w nie wpleść sprawdzenie wiarygod- ności podwykonawcy jako procesora. Checklista z odpowiednimi pytaniami powinna spełnić tu swoją rolę w przeważającej części. RODO nie narzuca obowiązku prowadzenia takiej checklisty, ale na pewno będzie ona nie tylko jakąś podstawą do weryfikacji procesora, ale pomoże nam w pewnym stopniu spełnić zasadę rozliczalności przy jego wyborze. Sądy i organy oceniając, czy numer telefonu to dana osobowa spierają się głównie o to, czy numer telefonu umożliwia identyfikację, czy też nie. Prezes Urzędu Ochrony Danych Osobowych w wielu decyzjach podkreśla, że pozwala on bardzo ła- two ustalić inne dane osoby.
Jakie pytania zadać? Wachlarz pytań może być bardzo różny, ale powinien być nakierowany w pierw- szej kolejności na to czy procesor w ogóle wie czym jest ochrona danych osobowych i czy w swojej organizacji wdrożył odpowiednie reguły.
Najistotniejsze są absolutnie podstawowe kwestie, tj. prowadzenie rejestru kategorii czynności prze- twarzania, stosowanie technicznych i organizacyjnych zabezpieczeń (choć procesor nie ma obowiązku ich szczegółowego opisywania, jeżeli nie dochodzi jeszcze do zawarcia umowy), stosowanie upoważ- nień dla personelu, współpraca z dotychczasowymi administratorami przy odpowiadaniu na żądania osób, współpraca przy zgłaszaniu naruszeń. Uwaga praktyczna: z pewnością należy unikać takich pro- cesorów, którzy od razu chwalą się tym, że zgłaszają naruszenia za administratora. Podmiot przetwa- rzający nie ma takiego prawa, gdyż to administrator jest zobowiązany do oceny i zgłoszenia narusze- nia. Procesor ma jedynie powiadomić administratora o naruszeniu bez zbędnej zwłoki; ewentualnie może dokonać oceny naruszenia, ale nie jest ona wiążącą dla administratora.
Newralgiczną kwestią może być też samo negocjowanie i zawieranie umowy powierzenia. Teoretycz- nie takie umowy powinni zwykle przygotowywać i sporządzać administratorzy, gdyż to głównie oni odpowiadają za ich treść i zabezpieczenie swoich praw i obowiązków w zgodzie z RODO. Nie ulega jednak wątpliwości, że przygotowany procesor powinien zwykle dysponować własnym, choćby wstępnym, wzorem umowy powierzenia – w końcu to on zna proces przetwarzania najlepiej. Rzecz jasna taki wzór nie powinien być przekuwany na umowę z każdym administratorem, jednak posiada- nie takiego dokumentu może świadczyć o minimalnym poziomie świadomości po stronie analizowa- nego procesora. Warto także obserwować procesora przy negocjowaniu umowy. Jeżeli procesor np. nie zgadza się na wpisanie prawa audytu (które przecież jest wymagane przez art. 28 ust. 3 lit. h RODO), to powinna zapalić się nam, może jeszcze nie czerwona, ale przynajmniej pomarańczowa lampka. Podobnie rzecz ma się z podpowierzeniem. Negocjacje i ustalenia dotyczące wyrażenia zgody ogólnej bądź szczegółowej to dobra okazja do sprawdzenia czy procesor ma świadomość swojej od- powiedzialności za podpowierzenie. Jeżeli ustalamy, że zgoda będzie udzielana na konkretne pod- mioty podprzetwarzające wymienione w załączniku do umowy powierzenia, ale procesor nie chce ujawnić tych podmiotów, to być może warto rozejrzeć się za kimś, kto bardziej wie, jaka jest jego rola w łańcuchu przetwarzania.
Nie bagatelizujmy sprawdzania procesów przez zawarciem umowy podstawowej. Pamiętajmy, że ad- ministrator odpowiada za wybór procesora i błędny wybór może prowadzić do odpowiedzialności na gruncie RODO.
r. pr. Daniel Rybarczyk