Odpowiedzialność administratora za działania podmiotu przetwarzającego – jak ograniczyć ryzyko?

RODO wymaga od administratora danych nie tylko wyboru wiarygodnego podmiotu przetwarzającego, lecz także systematycznej kontroli jego działań. Brak nadzoru może skutkować milionowymi karami.

adwokat, senior associate w Kancelarii Głowacki i Wspólnicy

W świecie cyfrowym dane osobowe narażone są stale na różnego rodzaju zagrożenia. Cyberprzestępcy coraz częściej koncentrują się na najłatwiej dostępnych elementach infrastruktury informatycznej, wykorzystując określone podatności. W kontekście powierzenia przetwarzania danych szczególnie wrażliwym ogniwem są podmioty przetwarzające, czyli w praktyce zewnętrzne firmy/podmioty działające na zlecenie administratorów danych osobowych. Podmioty te często okazują się najsłabszym ogniwem w łańcuchu bezpieczeństwa.

Często są to mniejsze firmy przetwarzające dane w imieniu wielu różnych organizacji. Z uwagi na ograniczone zasoby – techniczne, finansowe, a także organizacyjne – nie zawsze są w stanie zapewnić odpowiedni poziom ochrony danych osobowych. Niewątpliwie outsourcing usług, mimo licznych korzyści, ściśle związany jest z konkretnymi obowiązkami prawnymi i organizacyjnymi.

Bezpieczeństwo danych

Umowa powierzenia przetwarzania danych osobowych pozwala administratorowi na świadome zarządzanie procesem przetwarzania realizowanym przez podmiot zewnętrzny w celu zapewnienie bezpieczeństwa przetwarzania danych osobowych. Z jednej strony konstrukcja ta pozwala sprawować kontrolę nad powierzonymi danymi osobowymi, a z drugiej nad samym podmiotem przetwarzającym.

Zgodnie z art. 28 ust. 1 RODO, jeżeli...