Z punktu widzenia przepisów regulujących powierzenie przetwarzania danych osobowych, Zamawiający powinien zawrzeć umowę z takim Wykonawcą, którego zweryfikował pod kątem gwarancji wdrożenia odpowiednich środków organizacyjnych i technicznych. Ocena procesora powinna zatem umożliwić Zamawiającemu wyselekcjonowanie grupy Wykonawców, którzy zapewniają takie gwarancje. Umowa nie powinna być zatem zawarta z jakimkolwiek przetwarzającym, ale właśnie z takim, który te gwarancje jest w stanie zapewnić. Zawarcie umowy z podmiotem, który takich gwarancji nie daje, może być kwalifikowane, jako naruszenie przepisów dotyczących ochrony danych osobowych, nie mówiąc już o tym, że generuje poważne ryzyka nieprawidłowej ochrony danych osobowych i niewłaściwego ich zabezpieczenia.
Ogłoszenia z kategorii Przetargi
-
Spółdzielnia Mieszkaniowo-Budowlana ,,JARY" ogłasza przetargi nieograniczone na wykonanie robót i usług budowlanych
Ogłoszenie premium 5 dni do końca
27.01.2025
WARSZAWA, Mazowieckie
Przetargi, Przetargi na dostawę
-
Spółdzielnia Mieszkaniowa WOLA Administracja Osiedla Bemowo IV ogłasza przetarg na przeprowadzenie remontów dźwigów
Ogłoszenie premium 21 dni do końca12.02.2025
WARSZAWA, Mazowieckie
Przetargi, Przetargi na dostawę
Dodatkowo, weryfikacja przetwarzającego oznacza, że Zamawiający spełnił wymóg rozliczalności (art. 5 ust. 2 RODO), będzie mógł bowiem wykazać, że dokonał oceny, czy konkretny wykonawca zapewnia gwarancje wdrożenia odpowiednich środków bezpieczeństwa danych osobowych.
RODO. Konieczna weryfikacja przetwarzającego.
W istocie przeprowadzenie weryfikacji procesora oznacza początek końca „ery" papierowych umów powierzenia. Nie będzie już wystarczające zawarcie umowy powierzenia z wykonawcą, który otrzyma dane osobowe Zamawiającego. Sens takiej umowie nadaje dopiero przeprowadzenie weryfikacji przetwarzającego, która sprawia, że postanowienia umowne nie są abstrakcyjne, ale zostały oparte na sprawdzeniu, czy przetwarzający dysponuje wiedzą i środkami, które pozwolą mu bezpiecznie przetwarzać dane osobowe.
Trzeba też dodać, że wybór podmiotu przetwarzającego w oparciu o takie kryteria, jak wdrożone środki techniczne i organizacyjne bezpośrednio rzutuje na miarkowanie ryzyka ewentualnych naruszeń ochrony danych osobowych obciążających administratora. To administrator odpowiada bowiem za wybór takiego wykonawcy, który wdroży właściwe środki organizacyjne i techniczne. Zarzut niewdrożenia odpowiednich środków organizacyjnych i technicznych był także eksponowany przez organ nadzoru (Prezesa UODO), np. w ramach decyzji w sprawie stwierdzenia naruszania przepisów rozporządzenia przez Cyfrowy Polsat S.A. (DKN.5130.3114.2020). Organ nadzoru zarzucał administratorowi „…niewdrożenie odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 i aby móc to wykazać oraz niepoddawanie przeglądom i uaktualnieniom tych środków, co stanowi naruszenie art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679".
Powiązanie weryfikacji stosowanych środków organizacyjnych i technicznych z potencjalnymi naruszeniami ochrony danych osobowych (które mogą być skutkiem braku wdrożenia tych środków) sprawia, że weryfikacja procesora staje się ważnym instrumentem prewencyjnej ochrony administratora.
RODO. Weryfikacja Procesora - praktyczne wskazówki
Prawidłowo przeprowadzona weryfikacja powinna nastąpić przed zawarciem umowy powierzenia, ponieważ wyniki tej oceny powinny dać Zamawiającemu wiedzę co do kwalifikacji Wykonawcy w tym obszarze. Ważne, aby to Wykonawca opisał stosowane środki, ponieważ te informacje dają Zamawiającemu wiedzę niezbędną do oceny faktycznie stosowanych przez Wykonawcę środków (a nie takich, jakich oczekuje Zamawiający) i odpowiadają podanym w art. 28 okolicznościom wyboru przetwarzającego („wdrożone środki").
Zamawiający powinien też mieć świadomość, że środki organizacyjne i techniczne wskazane w decyzji Komisji mają charakter przykładowy, a to oznacza, że nie jest zasadne stosowanie analogicznego wykazu środków do każdej umowy powierzenia.
Zbierane informacje muszą mieć zatem źródło w konkretnych okolicznościach przetwarzania. Przykładowo, jeżeli Wykonawca nie dostarcza systemu informatycznego i nie będzie w nim przetwarzał danych osobowych – należy skoncentrować się na ustaleniu, jak Wykonawca będzie chronił dane osobowe w czasie ich przechowywania w formie papierowej, jak i komu zapewni dostęp do takich danych, gdzie dane osobowe będą przechowywane i w jaki sposób zabezpieczone. Taka weryfikacja jest cennym źródłem wiedzy dla Zamawiającego, a jednocześnie dowodzi, że Zamawiający, jako administrator danych, faktycznie sprawuje kontrolę nad przetwarzaniem danych osobowych.