Spis treści
Czy podmiot przetwarzający musi informować o kontroli?
Nie – przepisy RODO nie nakładają obowiązku informowania administratora o tym, że w podmiocie przetwarzającym odbywa się kontrola. Przykładem takiego podmiotu może być np. biuro rachunkowe, firma IT lub zewnętrzny dział HR.
Oczywiście, z praktycznego punktu widzenia warto, aby taka informacja została przekazana. Jednak nie jest to obowiązek wynikający wprost z przepisów.
Co wynika z przepisów RODO?
RODO, a konkretnie art. 28 ust. 3, zobowiązuje podmiot przetwarzający m.in. do:
- przetwarzania danych wyłącznie na udokumentowane polecenie administratora,
- zapewnienia odpowiednich środków technicznych i organizacyjnych,
- wspierania administratora w wywiązywaniu się z obowiązków wynikających z RODO.
Ale uwaga – nigdzie nie znajdziemy obowiązku informowania o wszczęciu kontroli przez Prezesa UODO. Przepisy mówią raczej o ogólnej zasadzie współpracy – a to zupełnie inny poziom obowiązku.
Jakie znaczenie ma umowa powierzenia przetwarzania danych?
W praktyce to właśnie umowa powierzenia danych będzie kluczowym dokumentem, który może uregulować kwestię informowania o:
- incydentach naruszenia ochrony danych,
- kontrolach,
- działaniach podjętych przez organy nadzorcze.
Jeśli administrator chce mieć gwarancję, że zostanie poinformowany o kontroli – warto zawrzeć to wprost w umowie powierzenia. W przeciwnym razie, podmiot przetwarzający nie będzie miał takiego obowiązku.
Co się dzieje w przypadku naruszenia?
Jeśli kontrola UODO dotyczy incydentu związanego z naruszeniem danych, Prezes UODO w pierwszej kolejności kontaktuje się z administratorem. To on – jako podmiot odpowiedzialny za przetwarzanie – staje się stroną postępowania wyjaśniającego.
W takim postępowaniu UODO sprawdza m.in.:
- czy administrator właściwie ocenił gwarancje ochrony danych,
- czy właściwie dobrał podmiot przetwarzający,
- czy należycie nadzorował jego działania.
Dlaczego warto zadbać o przepływ informacji?
Brak obowiązku to nie to samo, co brak potrzeby. W interesie administratora jest, aby:
- dowiedzieć się jak najszybciej o kontroli,
- zareagować proaktywnie, np. poprzez własną wewnętrzną kontrolę,
- ustalić, czy i jak incydent wpływa na jego odpowiedzialność,
- móc przygotować dokumentację i stanowisko na potrzeby postępowania.
Z tego powodu dobrym rozwiązaniem jest ujęcie w umowie zapisu, który zobowiązuje podmiot przetwarzający do informowania o każdej kontroli UODO i jej wynikach.
Co powinien zrobić administrator?
- Podmiot przetwarzający nie ma ustawowego obowiązku informować o kontroli UODO.
- Administrator dowiaduje się o wynikach ewentualnie z decyzji organu nadzorczego.
- Dobrą praktyką jest zapisanie takiego obowiązku w umowie powierzenia.
- Administrator powinien w razie takiej sytuacji podjąć własne działania kontrolne i dokumentacyjne.
Czy Twoje umowy powierzenia danych są odpowiednio sporządzone?
Chcesz mieć pewność, że Twoje umowy powierzenia danych są kompletne i zabezpieczają Cię w przypadku kontroli?
Oferujemy:
- audyt umów powierzenia danych,
- opracowanie klauzul informacyjnych i modyfikacji umów,
- wsparcie w postępowaniach przed UODO,
- doradztwo w zakresie współpracy z biurami rachunkowymi i podmiotami przetwarzającymi.
Sprawdź:
Potrzebujesz pomocy w zgłoszeniu naruszenia ochrony danych osobowych? Napisz do nas pomożemy!
Sprawdź naszą ofertę!
Ostatnie wpisy
Masz pytanie?
Napisz do nas
O nas
Uważamy, że odpowiednio wdrożone RODO, może posłużyć jako narzędzie wpływające korzystnie na rozwój, postrzeganie oraz reputację firmy. Naszym celem jest zapewnienie prawidłowego przetwarzania, obiegu, archiwizowania oraz dostępu do danych zgodnie z aktualnymi wymogami.