Z punktu widzenia przepisów regulujących powierzenie przetwarzania danych osobowych, Zamawiający powinien zawrzeć umowę z takim Wykonawcą, którego zweryfikował pod kątem gwarancji wdrożenia odpowiednich środków organizacyjnych i technicznych. Ocena procesora powinna zatem umożliwić Zamawiającemu wyselekcjonowanie grupy Wykonawców, którzy zapewniają takie gwarancje. Umowa nie powinna być zatem zawarta z jakimkolwiek przetwarzającym, ale właśnie z takim, który te gwarancje jest w stanie zapewnić. Zawarcie umowy z podmiotem, który takich gwarancji nie daje, może być kwalifikowane, jako naruszenie przepisów dotyczących ochrony danych osobowych, nie mówiąc już o tym, że generuje poważne ryzyka nieprawidłowej ochrony danych osobowych i niewłaściwego ich zabezpieczenia.
Ogłoszenia z kategorii Przetargi
-
Spółdzielnia Mieszkaniowo-Budowlana "JARY" ogłasza przetargi nieograniczone na wykonanie robót i usług budowlanych
Ogłoszenie premium 1 dzień do końca23.12.2024
WARSZAWA, MazowieckiePrzetargi, Przetargi na dostawę -
Spółdzielnia Budowlano-Mieszkaniowa Ateńska ogłasza przetarg nieograniczony na dostawę środków czystości w roku 2025
Ogłoszenie premium 24 dni do końca15.01.2025
WARSZAWA, MazowieckiePrzetargi, Przetargi na dostawę
Dodatkowo, weryfikacja przetwarzającego oznacza, że Zamawiający spełnił wymóg rozliczalności (art. 5 ust. 2 RODO), będzie mógł bowiem wykazać, że dokonał oceny, czy konkretny wykonawca zapewnia gwarancje wdrożenia odpowiednich środków bezpieczeństwa danych osobowych.
RODO. Konieczna weryfikacja przetwarzającego.
W istocie przeprowadzenie weryfikacji procesora oznacza początek końca „ery" papierowych umów powierzenia. Nie będzie już wystarczające zawarcie umowy powierzenia z wykonawcą, który otrzyma dane osobowe Zamawiającego. Sens takiej umowie nadaje dopiero przeprowadzenie weryfikacji przetwarzającego, która sprawia, że postanowienia umowne nie są abstrakcyjne, ale zostały oparte na sprawdzeniu, czy przetwarzający dysponuje wiedzą i środkami, które pozwolą mu bezpiecznie przetwarzać dane osobowe.
Trzeba też dodać, że wybór podmiotu przetwarzającego w oparciu o takie kryteria, jak wdrożone środki techniczne i organizacyjne bezpośrednio rzutuje na miarkowanie ryzyka ewentualnych naruszeń ochrony danych osobowych obciążających administratora. To administrator odpowiada bowiem za wybór takiego wykonawcy, który wdroży właściwe środki organizacyjne i techniczne. Zarzut niewdrożenia odpowiednich środków organizacyjnych i technicznych był także eksponowany przez organ nadzoru (Prezesa UODO), np. w ramach decyzji w sprawie stwierdzenia naruszania przepisów rozporządzenia przez Cyfrowy Polsat S.A. (DKN.5130.3114.2020). Organ nadzoru zarzucał administratorowi „…niewdrożenie odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 i aby móc to wykazać oraz niepoddawanie przeglądom i uaktualnieniom tych środków, co stanowi naruszenie art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679".
Powiązanie weryfikacji stosowanych środków organizacyjnych i technicznych z potencjalnymi naruszeniami ochrony danych osobowych (które mogą być skutkiem braku wdrożenia tych środków) sprawia, że weryfikacja procesora staje się ważnym instrumentem prewencyjnej ochrony administratora.
RODO. Weryfikacja Procesora - praktyczne wskazówki
Prawidłowo przeprowadzona weryfikacja powinna nastąpić przed zawarciem umowy powierzenia, ponieważ wyniki tej oceny powinny dać Zamawiającemu wiedzę co do kwalifikacji Wykonawcy w tym obszarze. Ważne, aby to Wykonawca opisał stosowane środki, ponieważ te informacje dają Zamawiającemu wiedzę niezbędną do oceny faktycznie stosowanych przez Wykonawcę środków (a nie takich, jakich oczekuje Zamawiający) i odpowiadają podanym w art. 28 okolicznościom wyboru przetwarzającego („wdrożone środki").
Zamawiający powinien też mieć świadomość, że środki organizacyjne i techniczne wskazane w decyzji Komisji mają charakter przykładowy, a to oznacza, że nie jest zasadne stosowanie analogicznego wykazu środków do każdej umowy powierzenia.
Zbierane informacje muszą mieć zatem źródło w konkretnych okolicznościach przetwarzania. Przykładowo, jeżeli Wykonawca nie dostarcza systemu informatycznego i nie będzie w nim przetwarzał danych osobowych – należy skoncentrować się na ustaleniu, jak Wykonawca będzie chronił dane osobowe w czasie ich przechowywania w formie papierowej, jak i komu zapewni dostęp do takich danych, gdzie dane osobowe będą przechowywane i w jaki sposób zabezpieczone. Taka weryfikacja jest cennym źródłem wiedzy dla Zamawiającego, a jednocześnie dowodzi, że Zamawiający, jako administrator danych, faktycznie sprawuje kontrolę nad przetwarzaniem danych osobowych.