Decyzją z 7 września 2022 roku Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną jeden z krajowych Ośrodków Kultury. Powodem ukarania podmiotu było powierzenie przetwarzania danych osobowych osobie fizycznej prowadzącej działalność gospodarczą, której nie sprawdzono przed zawarciem umowy. Administrator nie zawarł na piśmie umowy powierzenia i nie potrafił też wykazać, że przed zawarciem umowy przeprowadził jakąkolwiek weryfikację, czy ten przedsiębiorca zapewnia gwarancje wdrożenia odpowiednich środków technicznych. Ośrodek Kultury nie mógł zatem odpowiednio wcześnie stwierdzić, że jeśli skorzysta z usług tego przedsiębiorcy to nie ucierpi na tym bezpieczeństwo danych osobowych.

UODO podkreślił, że Ośrodek Kultury powinien był sprawdzić, czy procesor ten (osoba fizyczna prowadząca działalność gospodarczą) zapewniała gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych oraz czy powierzone przetwarzanie będzie spełniało wymogi RODO oraz czy nie ucierpią prawa osób, których dane dotyczą. Brak weryfikacji podmiotu przetwarzającego może wiązać się z konsekwencjami dla osób fizycznych, których dane osobowe zostały powierzone podmiotowi przetwarzającemu, np. w postaci utraty danych osobowych albo ich nieuprawnionego ujawnienia. Zatem decyzja co do tego, komu administrator powierzy przetwarzanie danych osobowych nie może być podejmowana bezpodstawnie. Dopiero po zbadaniu warunków przetwarzania i po stwierdzeniu adekwatności wybranego procesora, administrator może przystąpić do zawarcia stosownej umowy powierzenia. To należy zaś udokumentować. Administrator musi być gotów wykazać się dokumentami potwierdzającymi, że sprawdził swojego kontrahenta zanim uznał, że może mu zaufać.

W Politechnice Wrocławskiej dotyczyć by to mogło m.in. korzystania z usług zewnętrznych specjalistów zapewniających obsługę oprogramowania i aplikacji, serwisantów sprzętu używanego do przetwarzania danych osobowych, dostawców różnego rodzaju usług serwerowych (np. wspierającego organizację wydarzeń, rejestrację uczestników, mailing), obsługę wydawniczą, kursy i szkolenia zewnętrzne itp.

Przeprowadzenie sprawdzenia może wydawać się trudne zwłaszcza osobie, która nie za bardzo wie o jakie zabezpieczenia pytać. W tej sytuacji, w Politechnice Wrocławskiej Inspektor Ochrony Danych zaleca korzystanie z Listy kontrolnej, która pozwoli upewnić się jak podchodzi do bezpieczeństwa danych osobowych zamierzony kontrahent. Lista jest dostępna poniżej oraz na stronie: https://pwr.edu.pl/ochrona-danych-osobowych/dla-zalogowanych 

Listę należy udostępnić kontrahentowi (optymalnie - w formie elektronicznej) przed zobowiązaniem się do zamówienia jego usług czy zawarcia umowy – w celu udzielenia odpowiedzi, które dla PWr będą podstawą oceny czy kontrahent będzie spełniał oczekiwania dotyczące bezpieczeństwa danych osobowych.

• Należy oczekiwać odesłania dokumentu wypełnionego, nadającego się do weryfikacji i podpisanego odręcznie albo przynajmniej sporządzonego w formie dokumentowej. Dopuścić można dokument w formacie .PDF podpisany przez osobę umocowaną formalnie do reprezentowania kontrahenta np. przy pomocy podpisu kwalifikowanego albo nawet podpisu zaufanego ze strony: https://moj.gov.pl/nforms/signer/upload?xFormsAppName=SIGNER  

• Nie należy polegać na deklaracjach ustnych kontrahenta ani na samych tylko opiniach klientów czy innych użytkowników usługi. Lista kontrolna podpisana przez przypadkową osobę – np. przez informatyka zatrudnionego u kontrahenta nie będzie miała znaczenia formalnego - jeśli nie będzie stanowiła oświadczenia woli samego kontrahenta.

• Wypełniona lista kontrolna powinna być zachowana bezterminowo do celów kontroli i - albo włączona do akt związanych z umową - albo archiwizowana w inny sposób, zgodny z Instrukcją Archiwalną PWr.

Uzyskane w ten sposób, odpowiednie informacje o środkach bezpieczeństwa mogą być następnie uzgadniane z kontrahentem bądź uszczegółowione. Szczególnie jeśli odpowiedzi nie przekonują pracownika Politechniki (chcącego zawrzeć taką umowę), to winien on domagać się zastosowania dalej idącej ochrony danych albo też ograniczyć ryzyka związane z powierzeniem - ograniczając sam zakres danych czy rezygnując z powierzania do przetwarzania pewnych kategorii danych. Jeśli dojdzie do końcowego uzgodnienia z kontrahentem to ustalone tak środki ochrony danych (i inne warunki szczegółowe) powinny znaleźć się w umowie powierzenia przetwarzania. Pracownik Uczelni powinien pamiętać, że działania wybranego Procesora (i wszystkie jego zaniecania także) co do zasady będą obciążały Uczelnię i będą wykonywane na jej ryzyko.

Niewskazanie konkretnych środków ochrony danych w umowie pozostaje w sprzedzności z Decyzją wykonawczą Komisji (UE) 2021/915 w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi na podstawie art. 28 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 oraz art. 29 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725.