Powierzenie przetwarzania danych osobowych rodzi po stronie administratora szereg obowiązków wykraczających daleko poza samo zawarcie umowy. Kluczowym, a zarazem najczęściej pomijanym, jest obowiązek weryfikacji podmiotu przetwarzającego – zarówno przed nawiązaniem współpracy, jak i przez cały czas jej trwania. Jego niedopełnienie to nie tylko ryzyko sankcji administracyjnej, ale też realna luka w systemie zarządzania zgodnością.

Administrator i procesor – rozgraniczenie odpowiedzialności

Prawidłowe ustalenie ról stron w procesie przetwarzania danych jest warunkiem sine qua non zgodności z RODO. Administrator (art. 4 pkt 7 RODO) samodzielnie decyduje o celach i środkach przetwarzania oraz ponosi pełną odpowiedzialność za zgodność przetwarzania z rozporządzeniem – zarówno w zakresie operacji własnych, jak i tych realizowanych przez procesorów. Podmiot przetwarzający (art. 4 pkt 8 RODO) działa wyłącznie na udokumentowane polecenie administratora, w określonych przez niego celach i granicach.

Kluczowe jest rozróżnienie powierzenia przetwarzania od dwóch innych trybów przepływu danych, z którymi bywa mylone: udostępnienia, w którym odbiorca danych staje się samodzielnym administratorem i współadministrowania opisanego w art. 26 RODO, gdy  co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania

Błędna kwalifikacja relacji z kontrahentem generuje ryzyko naruszenia RODO niezależnie od treści zawartej umowy. Administrator powinien weryfikować kwalifikację przy każdym nowym zaangażowaniu zewnętrznym.

Zakres obowiązku weryfikacji – co nakazuje art. 28 RODO

Zgodnie z art. 28 ust. 1 RODO administrator zobowiązany jest korzystać wyłącznie z usług procesorów, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Sformułowanie to ma charakter ocenny, jednak zarówno motyw 81 RODO, jak i wytyczne EROD dookreślają jego treść: chodzi o rzeczywistą zdolność procesora do ochrony danych, weryfikowaną w sposób udokumentowany.

Obowiązek weryfikacji obejmuje dwa wymiary:

Weryfikacja ex ante – przed zawarciem umowy

Administrator powinien sprawdzić co najmniej:

• rodzaj i poziom wdrożonych środków technicznych (szyfrowanie, pseudonimizacja, kontrola dostępu, zarządzanie podatnościami)
• środki organizacyjne: polityki bezpieczeństwa, szkolenia personelu, procedury obsługi incydentów
• zdolność do przywrócenia dostępności danych po incydencie fizycznym lub technicznym
• mechanizmy regularnego testowania i oceny skuteczności zabezpieczeń
• politykę korzystania z podprocesorów (dalsze powierzenia – art. 28 ust. 2 i 4 RODO)

 

Weryfikacja ongoing – w trakcie trwania umowy

Art. 28 ust. 3 lit. h RODO expressis verbis zobowiązuje procesora do poddania się audytom i inspekcjom prowadzonym przez administratora lub upoważnionego audytora. Obowiązek ten jest symetryczny: administrator musi z tego uprawnienia aktywnie korzystać. Częstotliwość i zakres weryfikacji powinny być proporcjonalne do wyników analizy ryzyka dla praw i wolności osób, której administrator jest zobowiązany dokonać (art. 24 ust. 1 RODO).

Analogiczny obowiązek dotyczy podprocesorów – administrator odpowiada za cały łańcuch powierzenia i nie może ograniczyć kontroli wyłącznie do pierwszego ogniwa.

Praktyczna wskazówka

Najskuteczniejszym narzędziem realizacji obowiązku z art. 28 RODO jest ustrukturyzowana ankieta weryfikacyjna, której wyniki formalizuje się w postaci raportu. Dokument ten stanowi bezpośredni dowód realizacji zasady rozliczalności (art. 5 ust. 2 RODO) i jest kluczowym materiałem w razie postępowania przed Prezesem UODO. Samo przeprowadzenie audytu bez dokumentacji jest prawnie bezwartościowe.

Linia orzecznicza UODO – wnioski dla praktyki compliance

W decyzji DKN.5131.35.2021 Prezes UODO jednoznacznie potwierdził, że administrator musi aktywnie weryfikować, czy procesor faktycznie spełnia wymogi art. 28 RODO. Pasywne poleganie na oświadczeniach procesora lub samo zawarcie umowy powierzenia nie wyczerpuje obowiązku. Organ nadzorczy ocenia, czy administrator podjął rzeczywiste działania sprawdzające i czy są one udokumentowane.

Kary za niedopełnienie obowiązku weryfikacji spadały już na różnych uczestników rynku:

McDonald's Polska sp. z o.o. – kara za brak odpowiedniej weryfikacji procesora przed powierzeniem mu danych osobowych

Sułkowicki Ośrodek Kultury – kara za powierzenie danych bez pisemnej umowy powierzenia i bez weryfikacji firmy obsługującej informatykę

Konsekwencje to nie tylko kary finansowe (do 20 mln EUR lub 4% rocznego obrotu globalnego), ale też poważne straty wizerunkowe – szczególnie dotkliwe dla firm, których model biznesowy opiera się na zaufaniu klientów.

Oba przypadki ilustrują tę samą tezę: organ nadzorczy traktuje brak dokumentacji weryfikacyjnej jako dowód braku weryfikacji. Z perspektywy compliance jest to zasada odwróconego ciężaru dowodowego – administrator, który nie potrafi wykazać, że zweryfikował procesora, ponosi konsekwencje tak, jakby weryfikacji w ogóle nie przeprowadził.

Wnioski – rekomendacje dla Administratorów

Umowa powierzenia przetwarzania danych jest warunkiem koniecznym, lecz niewystarczającym – art. 28 RODO wymaga równolegle udokumentowanej weryfikacji merytorycznej procesora.

Weryfikacja ma charakter ciągły: obejmuje etap ex ante oraz regularne audyty i inspekcje w trakcie trwania umowy, o częstotliwości wynikającej z analizy ryzyka.

Dokumentacja weryfikacji (ankieta, raport, protokoły audytu) to materialny dowód realizacji zasady rozliczalności z art. 5 ust. 2 RODO – niezbędny w razie postępowania nadzorczego.

Zakres weryfikacji rozciąga się na podprocesorów – administrator odpowiada za cały łańcuch powierzenia.

• Prawidłowa kwalifikacja relacji z kontrahentem (powierzenie / udostępnienie / współadministrowanie) powinna poprzedzać dobór instrumentów prawnych i weryfikacyjnych.

 

Kancelaria Wyrzykowscy przygotowała gotową ankietę weryfikacyjną dla podmiotów przetwarzających. Narzędzie, obejmując kluczowe obszary weryfikacji, pozwala ocenić gwarancje procesora zarówno na etapie wyboru, jak i w ramach audytów bieżących. Zapraszamy do kontaktu z Zespołem Ochrony Danych Osobowych.

 

mgr Maria Kowalik-Sobczak 

Zespół Ochrony Danych Osobowych

Kancelaria Wyrzykowscy 

 

Zobacz także

• Odliczenie VAT z faktury tradycyjnej i brak obowiązku korekty JPK po dosłaniu tej faktury do KSeF.
• Faktury dokumentujące WNT lub import usług - jak oznaczyć w JPK_V7?
• Wodny plac zabaw w gminie – odpłatny wstęp podlega VAT, a gmina odliczy podatek od inwestycji
• Prywatne rozmowy z telefonu służbowego a VAT – co na to sądy?
• Czy można dokonać odliczenia podatku VAT przed otrzymaniem faktury zakupu? - TSUE się wypowiedział!
• Nowe zasady ujmowania faktur korygujących in minus w związku z KSeF
• Umowa przetwarzania jako fundament bezpiecznego przetwarzania w każdym sektorze – lekcja z sektora kurierskiego w świetle wytycznych PUODO
• DKIS wskazał, jak powinno się korygować faktury wystawione na JST pod kątem oznaczenia odbiorcy w KSeF! Interpretacja indywidualna.
• Nowa struktura pliku JPK_V7 już obowiązuje. O czym należy pamiętać?
• Kiedy powstaje obowiązek podatkowy przy płatności kartą z „góry”?