• +48 573 177 822
  • biuro@ratio-go.pl
  • Pon - Pt: 10:00 - 18:00
Facebook-f Instagram Linkedin
Facebook-f Instagram Linkedin

Kontrola UODO u podmiotu przetwarzającego

Warto w tym miejscu dodać jeszcze jedną rzecz, która w praktyce bardzo często umyka. Podmiot przetwarzający nie przestaje być administratorem danych we własnych procesach. To, że dana firma działa jako procesor wobec danych powierzonych przez klienta, nie oznacza, że cała jej działalność ma ten sam status.

Procesor jest administratorem m.in. wobec danych swoich pracowników, współpracowników, kontrahentów, danych księgowych, kadrowych, marketingowych czy danych związanych z prowadzeniem własnej działalności. W tych obszarach samodzielnie decyduje o celach i sposobach przetwarzania, a więc ponosi pełną odpowiedzialność jako administrator danych.

W praktyce podczas kontroli UODO bardzo często analizowane są obie role równolegle. Z jednej strony organ sprawdza, czy procesor prawidłowo realizuje obowiązki wynikające z art. 28 RODO wobec danych powierzonych. Z drugiej strony ocenia, czy ten sam podmiot wywiązuje się z obowiązków administratora w swoich własnych procesach.

To oznacza, że podmiot przetwarzający musi mieć uporządkowane RODO nie tylko „pod klientów”, ale także wewnętrznie. Brak tej świadomości prowadzi do sytuacji, w której firma formalnie poprawnie realizuje umowy powierzenia, a jednocześnie narusza RODO jako administrator własnych danych. I to również może być przedmiotem kontroli oraz podstawą do nałożenia sankcji.

Spis treści

Czy podmiot przetwarzający musi informować o kontroli?

Nie – przepisy RODO nie nakładają obowiązku informowania administratora o tym, że w podmiocie przetwarzającym odbywa się kontrola. Przykładem takiego podmiotu może być np. biuro rachunkowe, firma IT lub zewnętrzny dział HR.

Oczywiście, z praktycznego punktu widzenia warto, aby taka informacja została przekazana. Jednak nie jest to obowiązek wynikający wprost z przepisów.

Co wynika z przepisów RODO?

RODO, a konkretnie art. 28 ust. 3, zobowiązuje podmiot przetwarzający m.in. do:

  • przetwarzania danych wyłącznie na udokumentowane polecenie administratora,
  • zapewnienia odpowiednich środków technicznych i organizacyjnych,
  • wspierania administratora w wywiązywaniu się z obowiązków wynikających z RODO.

Ale uwaga – nigdzie nie znajdziemy obowiązku informowania o wszczęciu kontroli przez Prezesa UODO. Przepisy mówią raczej o ogólnej zasadzie współpracy – a to zupełnie inny poziom obowiązku.

Jakie znaczenie ma umowa powierzenia przetwarzania danych?

W praktyce to właśnie umowa powierzenia danych będzie kluczowym dokumentem, który może uregulować kwestię informowania o:

  • incydentach naruszenia ochrony danych,
  • kontrolach,
  • działaniach podjętych przez organy nadzorcze.

 

Jeśli administrator chce mieć gwarancję, że zostanie poinformowany o kontroli – warto zawrzeć to wprost w umowie powierzenia. W przeciwnym razie, podmiot przetwarzający nie będzie miał takiego obowiązku.

Czy podmiot przetwarzający ma obowiązek zgłoszenia naruszenia do UODO?

W świetle przepisów RODO, to administrator danych – a nie podmiot przetwarzający – ponosi główny obowiązek zgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego. Wynika to wprost z art. 33 ust. 1 RODO, który wskazuje, że administrator musi dokonać zgłoszenia „bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia”. Termin ten liczony jest od momentu stwierdzenia naruszenia (czyli potwierdzenia, że do niego doszło), a nie od chwili samego wystąpienia incydentu.

Podmiot przetwarzający – np. firma hostingowa, zewnętrzny dostawca usług IT, call center czy biuro rachunkowe – nie zgłasza naruszenia bezpośrednio do UODO, lecz jest zobowiązany niezwłocznie poinformować o nim administratora (art. 33 ust. 2 RODO). Zazwyczaj taki obowiązek wynika wprost z umowy powierzenia przetwarzania danych i jest opisany w procedurach bezpieczeństwa. W praktyce często oznacza to, że podmiot przetwarzający musi przekazać administratorowi szczegółowe informacje o incydencie, umożliwiające mu podjęcie decyzji o ewentualnym zgłoszeniu do organu nadzorczego.

kontrola UODO

Jak wygląda proces zgłoszenia przez administratora?

Zgodnie z art. 33 ust. 3 RODO, zgłoszenie do organu nadzorczego – w Polsce jest to Prezes UODO – powinno zawierać co najmniej:

  • opis charakteru naruszenia, z uwzględnieniem kategorii oraz przybliżonej liczby osób, których dane dotyczą, oraz wpisów danych objętych naruszeniem,
  • dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego,
  • opis możliwych konsekwencji naruszenia,
  • opis zastosowanych lub planowanych środków zaradczych, w tym działań minimalizujących potencjalne negatywne skutki.

 

Jeżeli administrator nie jest w stanie podać wszystkich informacji w chwili zgłoszenia, może je uzupełniać w trybie późniejszym – jednak bez zbędnej zwłoki.

Dlaczego to administrator zgłasza, a nie podmiot przetwarzający?

Podstawowa różnica wynika z zakresu odpowiedzialności określonego w RODO. Administrator decyduje o celach i sposobach przetwarzania danych, dlatego to on dokonuje oceny ryzyka naruszenia praw lub wolności osób fizycznych i podejmuje decyzję o dokonaniu zgłoszenia. Podmiot przetwarzający działa wyłącznie na polecenie administratora i w jego imieniu, nie posiadając samodzielnej podstawy prawnej do zgłoszenia incydentu organowi nadzorczemu, chyba że równocześnie pełni rolę administratora w innym zakresie. W praktyce oznacza to, że na przykład firma IT obsługująca sklep internetowy, która stwierdzi wyciek danych, powinna niezwłocznie poinformować o tym właściciela sklepu, przekazując mu wszystkie istotne informacje. Administrator następnie przeprowadza ocenę, czy dane zdarzenie spełnia przesłanki zgłoszenia do UODO.

Co się dzieje w przypadku naruszenia?

Jeśli kontrola UODO dotyczy incydentu związanego z naruszeniem danych, Prezes UODO w pierwszej kolejności kontaktuje się z administratorem. To on – jako podmiot odpowiedzialny za przetwarzanie – staje się stroną postępowania wyjaśniającego.

W takim postępowaniu UODO sprawdza m.in.:

  • czy administrator właściwie ocenił gwarancje ochrony danych,
  • czy właściwie dobrał podmiot przetwarzający,
  • czy należycie nadzorował jego działania.

     

Termin 72 godzin – kluczowy dla uniknięcia sankcji

Jeżeli administrator uzna, że naruszenie może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych, musi dokonać zgłoszenia w ciągu 72 godzin od stwierdzenia naruszenia. Przekroczenie tego terminu wymaga uzasadnienia przyczyn opóźnienia. Brak zgłoszenia lub spóźnione zgłoszenie może skutkować wysokimi karami administracyjnymi oraz utratą zaufania klientów.

Dlaczego warto zadbać o przepływ informacji?

Brak obowiązku to nie to samo, co brak potrzeby. W interesie administratora jest, aby:

  • dowiedzieć się jak najszybciej o kontroli,
  • zareagować proaktywnie, np. poprzez własną wewnętrzną kontrolę,
  • ustalić, czy i jak incydent wpływa na jego odpowiedzialność,
  • móc przygotować dokumentację i stanowisko na potrzeby postępowania.

 

Z tego powodu dobrym rozwiązaniem jest ujęcie w umowie zapisu, który zobowiązuje podmiot przetwarzający do informowania o każdej kontroli UODO i jej wynikach.

Co powinien zrobić administrator?

  • Podmiot przetwarzający nie ma ustawowego obowiązku informować o kontroli UODO.
  • Administrator dowiaduje się o wynikach ewentualnie z decyzji organu nadzorczego.
  • Dobrą praktyką jest zapisanie takiego obowiązku w umowie powierzenia.
  • Administrator powinien w razie takiej sytuacji podjąć własne działania kontrolne i dokumentacyjne.

Dokumentowanie naruszeń – obowiązek obu stron

RODO w art. 33 ust. 5 nakłada na administratora obowiązek dokumentowania wszystkich naruszeń – zarówno tych, które zgłoszono do organu, jak i tych, które nie wymagały zgłoszenia. Dokumentacja powinna zawierać okoliczności incydentu, jego skutki oraz podjęte działania naprawcze.

Podmiot przetwarzający również powinien prowadzić własną ewidencję naruszeń, aby móc udowodnić, że wywiązał się z obowiązku informacyjnego wobec administratora.

kontrola UODO

Czy Twoje umowy powierzenia danych są odpowiednio sporządzone?

Chcesz mieć pewność, że Twoje umowy powierzenia danych są kompletne i zabezpieczają Cię w przypadku kontroli?

Oferujemy:

  • audyt umów powierzenia danych,
  • opracowanie klauzul informacyjnych i modyfikacji umów,
  • wsparcie w postępowaniach przed UODO,
  • doradztwo w zakresie współpracy z biurami rachunkowymi i podmiotami przetwarzającymi.

Sprawdź:

Potrzebujesz pomocy w zgłoszeniu naruszenia ochrony danych osobowych? Napisz do nas pomożemy!

Michał Myśliwy

Michał Myśliwy

Prawnik

Prawnik i praktyk w obszarze ochrony danych osobowych oraz compliance. Od momentu wejścia w życie RODO aktywnie pełni funkcję Inspektora Ochrony Danych w spółkach akcyjnych i spółkach z ograniczoną odpowiedzialnością. Specjalizuje się w projektowaniu i wdrażaniu rozwiązań z zakresu ochrony danych i compliance, opartych na realnych procesach biznesowych, ryzykach oraz odpowiedzialności zarządczej.

Sprawdź naszą ofertę!

Wdrożenie RODO
Dokumentacja
Audyt RODO
Szkolenia RODO
Szkolenia RODO
Outsourcing IOD
Doradztwo RODO
Ostatnie wpisy

Masz pytanie?

O nas

Uważamy, że odpowiednio wdrożone RODO, może posłużyć jako narzędzie wpływające korzystnie na rozwój, postrzeganie oraz reputację firmy. Naszym celem jest zapewnienie prawidłowego przetwarzania, obiegu, archiwizowania oraz dostępu do danych zgodnie z aktualnymi wymogami.

Facebook-f Instagram Linkedin
Udostępnij ten post
Facebook
LinkedIn
Czytaj dalej
Facebook Instagram Linkedin
Facebook-f Instagram Linkedin