TWOJA PRZEGLĄDARKA JEST NIEAKTUALNA.
Wykryliśmy, że używasz nieaktualnej przeglądarki, przez co nasz serwis może dla Ciebie działać niepoprawnie. Zalecamy aktualizację lub przejście na inną przeglądarkę.
Data: 22.09.2022
Decyzją z 7 września 2022 roku Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną jeden z krajowych Ośrodków Kultury. Powodem ukarania podmiotu było powierzenie przetwarzania danych osobowych osobie fizycznej prowadzącej działalność gospodarczą, której nie sprawdzono przed zawarciem umowy. Administrator nie zawarł na piśmie umowy powierzenia i nie potrafił też wykazać, że przed zawarciem umowy przeprowadził jakąkolwiek weryfikację, czy ten przedsiębiorca zapewnia gwarancje wdrożenia odpowiednich środków technicznych. Ośrodek Kultury nie mógł zatem odpowiednio wcześnie stwierdzić, że jeśli skorzysta z usług tego przedsiębiorcy to nie ucierpi na tym bezpieczeństwo danych osobowych.
UODO podkreślił, że Ośrodek Kultury powinien był sprawdzić, czy procesor ten (osoba fizyczna prowadząca działalność gospodarczą) zapewniała gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych oraz czy powierzone przetwarzanie będzie spełniało wymogi RODO oraz czy nie ucierpią prawa osób, których dane dotyczą. Brak weryfikacji podmiotu przetwarzającego może wiązać się z konsekwencjami dla osób fizycznych, których dane osobowe zostały powierzone podmiotowi przetwarzającemu, np. w postaci utraty danych osobowych albo ich nieuprawnionego ujawnienia. Zatem decyzja co do tego, komu administrator powierzy przetwarzanie danych osobowych nie może być podejmowana bezpodstawnie. Dopiero po zbadaniu warunków przetwarzania i po stwierdzeniu adekwatności wybranego procesora, administrator może przystąpić do zawarcia stosownej umowy powierzenia. To należy zaś udokumentować. Administrator musi być gotów wykazać się dokumentami potwierdzającymi, że sprawdził swojego kontrahenta zanim uznał, że może mu zaufać.
W Politechnice Wrocławskiej dotyczyć by to mogło m.in. korzystania z usług zewnętrznych specjalistów zapewniających obsługę oprogramowania i aplikacji, serwisantów sprzętu używanego do przetwarzania danych osobowych, dostawców różnego rodzaju usług serwerowych (np. wspierającego organizację wydarzeń, rejestrację uczestników, mailing), obsługę wydawniczą, kursy i szkolenia zewnętrzne itp.
Przeprowadzenie sprawdzenia może wydawać się trudne zwłaszcza osobie, która nie za bardzo wie o jakie zabezpieczenia pytać. W tej sytuacji, w Politechnice Wrocławskiej Inspektor Ochrony Danych zaleca korzystanie z Listy kontrolnej, która pozwoli upewnić się jak podchodzi do bezpieczeństwa danych osobowych zamierzony kontrahent. Lista jest dostępna poniżej oraz na stronie: https://pwr.edu.pl/ochrona-danych-osobowych/dla-zalogowanych
Listę należy udostępnić kontrahentowi (optymalnie - w formie elektronicznej) przed zobowiązaniem się do zamówienia jego usług czy zawarcia umowy – w celu udzielenia odpowiedzi, które dla PWr będą podstawą oceny czy kontrahent będzie spełniał oczekiwania dotyczące bezpieczeństwa danych osobowych.
Uzyskane w ten sposób, odpowiednie informacje o środkach bezpieczeństwa mogą być następnie uzgadniane z kontrahentem bądź uszczegółowione. Szczególnie jeśli odpowiedzi nie przekonują pracownika Politechniki (chcącego zawrzeć taką umowę), to winien on domagać się zastosowania dalej idącej ochrony danych albo też ograniczyć ryzyka związane z powierzeniem - ograniczając sam zakres danych czy rezygnując z powierzania do przetwarzania pewnych kategorii danych. Jeśli dojdzie do końcowego uzgodnienia z kontrahentem to ustalone tak środki ochrony danych (i inne warunki szczegółowe) powinny znaleźć się w umowie powierzenia przetwarzania. Pracownik Uczelni powinien pamiętać, że działania wybranego Procesora (i wszystkie jego zaniecania także) co do zasady będą obciążały Uczelnię i będą wykonywane na jej ryzyko.
Niewskazanie konkretnych środków ochrony danych w umowie pozostaje w sprzedzności z Decyzją wykonawczą Komisji (UE) 2021/915 w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi na podstawie art. 28 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 oraz art. 29 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725.
lista_kontrolna_do_oceny_procesora_v10.docx [ .docx 36.79 KB ] |
22-09-2022 |
Nasze strony internetowe i oparte na nich usługi używają informacji zapisanych w plikach cookies. Korzystając z serwisu wyrażasz zgodę na używanie plików cookies zgodnie z aktualnymi ustawieniami przeglądarki, które możesz zmienić w dowolnej chwili. Ochrona danych osobowych »