Zlecasz firmie zewnętrznej wdrożenie RODO? Sprawdź, za co jesteś odpowiedzialny

Autor: Paweł Biały
Administrator danych samodzielnie odpowiada za proces przetwarzania danych osobowych i ich ochrony, ponieważ to on decyduje o środkach i celach ich przetwarzania. Nie zmieni tego ogólne rozporządzenie o ochronie danych (RODO). Dowiedz się, czy ADO będzie mógł przenieść swoją odpowiedzialność na podmiot zewnętrzny, który wdraża dla niego RODO.
Data 25 maja 2018 r. jest w pełni znana już nie tylko specjalistom z zakresu ochrony danych osobowych, ale również tym, którzy jako przedsiębiorcy przetwarzają dane osobowe. Na rynku coraz częściej można spotkać się z różnego rodzaju firmami, które świadczą usługi przygotowania przedsiębiorcy do RODO. Mają one zapewnić mu tzw. święty spokój w zakresie przygotowania do RODO. Pytaniem pozostaje to, czy faktycznie da się ów święty spokój w ten sposób kupić? Czy w tak rozumianej transakcji pomagają postanowienia umów o współpracy nakładające na specjalistę z zakresu ochrony danych osobowych wysokie kary umowne, odpowiedzialność przekraczającą łącznie uzyskane honorarium? Czy tego typu postanowienia mają w ogóle sens i uzasadnienie na gruncie RODO i praktyki funkcjonowania ADO?
Zgodnie z motywem 78 RODO administrator będzie dysponował dużą elastycznością w podejmowaniu, opisywaniu i wdrażaniu środków gwarantujących organizacyjne i techniczne bezpieczeństwo przetwarzania danych osobowych. W konsekwencji chodzi o wdrożenie odpowiednich środków technicznych i organizacyjnych, by zapewnić spełnienie wymogów RODO. Aby móc wykazać przestrzeganie RODO, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania (privacy by design) oraz z zasadą domyślnej ochrony danych (privacy by default). Środki te należy aktualizować w razie zaistnienia odpowiednich przesłanek.
W zakresie działalności Instytutu Ochrony Danych Osobowych, który współtworzę, z nasilającą się częstotliwością otrzymujemy zapytania ofertowe zmierzające do tzw. wdrożenia RODO u danego administratora danych. W głównej mierze podmioty składające takie zapytania ofertowe zmierzają jednak do całkowitego przeniesienia ciężaru odpowiedzialności prawnej na zleceniobiorcę. Tak ukształtowane zlecenie najczęściej polega na tym, że zleceniobiorca przyjmuje do wykonania zlecenie mające na celu nie tyle wdrożenie RODO, a zdjęcie z administratora danych (zleceniodawcy) pełnej odpowiedzialności prawnej i finansowej w razie nałożenia na niego administracyjnej kary pieniężnej. Wśród postanowień takich umów można przeczytać, że zleceniodawca przyjmuje na siebie pełną odpowiedzialność prawną za przygotowanie i wdrożenie dokumentacji zgodnej z RODO, co daje bezpośrednie uprawnienie zleceniodawcy (ADO) do żądania od niego odszkodowania na tzw. zasadach ogólnych, tj. przewyższającego łączną wysokość uzyskanego wynagrodzenia, w przypadku negatywnych wniosków pokontrolnych organu nadzorczego.
Istotą przepisów RODO jest zindywidualizowanie środków organizacyjnych i technicznych w zakresie procesu ochrony danych osobowych do potrzeb konkretnego administratora, który samodzielnie decyduje o środkach i celach przetwarzania danych osobowych. Z ratio legis tej normy prawnej wprost wynika, że podmiotem wyłącznie odpowiedzialnym za proces ochrony przetwarzania danych osobowych jest administrator, a nie podmiot opracowujący dla niego dokumentację. Tym samym administrator, po tym jak otrzyma odpowiednią i adekwatną dokumentację, nie może poprzestać na jej jednorazowym przyjęciu czy też wdrożeniu. W toku prowadzenia swojego przedsiębiorstwa, w części dotykającej ochrony danych osobowych, powinien czuwać nad jej aktualnością, w przeciwnym razie utraci ona swój sens prawny i faktyczny.
 
Dlatego też żądanie przejęcia pełnej odpowiedzialności majątkowej (o charakterze odszkodowawczym) przez zleceniodawcę jest postulatem niepraktycznym i w gruncie rzeczy niefunkcjonalnym w przyszłości. Jedynym wyjątkiem jest wyznaczenie inspektora ochrony danych, który w pewien sposób będzie odciążał administratora w zakresie jego obowiązków prawnych, przy czym w dalszym ciągu to ADO będzie odpowiadał za działania inspektora. W przypadku kontroli organu nadzorczego oraz wskazania nieprawidłowości w zakresie wdrożonych środków organizacyjnych i technicznych, za które odpowiedzialny był inspektor ochrony danych, w dalszym ciągu to administrator będzie musiał wykazać, że zgodnie z zasadą rozliczalności wyznaczył do pełnienia tych obowiązków osobę, która ma odpowiednie kwalifikacje i wiedzę.


Paweł Biały

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Skuteczne narzędzia do wykrywania uszkodzonych podzespołów

pobierz

Wykrywanie i usuwanie niechcianych programów

pobierz

Polecane artykuły

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji »
W jaki sposób zawiadomić o wyznaczeniu IOD

W jaki sposób zawiadomić o wyznaczeniu IOD »
Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie?

Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie? »
Array ( [docId] => 50017 )

Array ( [docId] => 50017 )
Array ( [docId] => 50017 )