Czy powierzenie przetwarzania danych należy udokumentować?
Współczesne przepisy dotyczące gromadzenia i przetwarzania danych osobowych są ściśle regulowane, chociażby przez wymogi RODO. Co więcej, powierzenie przetwarzania danych należy udokumentować. W jaki sposób?
Administrator, który powierza dane osobowe innemu podmiotowi, zobowiązany jest do zawarcia umowy powierzenia przetwarzania danych, a także do zweryfikowania, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych oraz organizacyjnych. Administrator weryfikuje również, czy przetwarzanie będzie spełniało wymogi RODO. Takiej umowy powierzenia przetwarzania danych nie zawarł Sułkowicki Ośrodek Kultury. UODO nałożył na podmiot karę pieniężną w kwocie 2,5 tyś zł. Brak weryfikacji podmiotu przetwarzającego wiążę się m.in. z utratą danych osobowych osób fizycznych, których dane zostały przekazane przez administratora.
Zgodnie z art. 28 RODO ,,Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą”.
Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie pisemnej umowy między administratorem danych oraz podmiotem przetwarzającym. Umowa określa przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.
UODO w swoim artykule podkreśla, że na administratorze spoczywa obowiązek zapewnienia bezpieczeństwa danych, w tym także odpowiedzialność za dobór podmiotu przetwarzającego i podpisania z nim umowy powierzenia przetwarzania danych.