Sprawdź, czy powierzając firmie zewnętrznej wdrożenie RODO, pozbywasz się swojej odpowiedzialności

Paweł Biały

Autor: Paweł Biały

Dodano: 29 stycznia 2018
Sprawdź, czy powierzając firmie zewnętrznej wdrożenie RODO, pozbywasz się swojej odpowiedzialności

Administrator danych samodzielnie odpowiada za proces przetwarzania danych osobowych i ich ochrony, ponieważ to on decyduje o środkach i celach ich przetwarzania. W ramach tego procesu może zlecić profesjonalnym podmiotom wsparcie i doradztwo w zakresie wdrożenia RODO. Sprawdź, czy dzięki temu administrator danych może  przenieść na ten podmiot zewnętrzny pełną odpowiedzialność.

Data 25 maja 2018 r. jest w pełni znana już nie tylko specjalistom z zakresu ochrony danych osobowych, ale również tym podmiotom, które przetwarzają dane osobowe. Na rynku coraz częściej można spotkać się z różnego rodzaju firmami, które świadczą usługi przygotowania przedsiębiorcy do ogólnego rozporządzenia o ochronie danych (RODO). W oczach administratora danych (ADO) wszystkie te usługi mają zapewnić mu tzw. święty spokój w zakresie przygotowania do RODO. Czy faktycznie da się ów święty spokój w ten sposób kupić?

Ogólne rozporządzenie o ochronie danych (RODO) nie precyzuje dokładnego zakresu dokumentacji ochrony danych osobowych, którą należy prowadzić. Nie oznacza to jednak, że dotychczas prowadzona dokumentacja przestanie mieć zastosowanie czy też utraci swój status.

Czy zgodnie z RODO trzeba prowadzić dokumentację ochrony danych

Zgodnie z motywem 78 ogólnego rozporządzenia o ochronie danych administrator będzie dysponował większą elastycznością w podejmowaniu, opisywaniu i wdrażaniu środków gwarantujących organizacyjne i techniczne bezpieczeństwo przetwarzania danych osobowych. W konsekwencji chodzi bowiem o wdrożenie odpowiednich środków technicznych i organizacyjnych, by zapewnić spełnienie wymogów RODO. Aby móc wykazać przestrzeganie ogólnego rozporządzenia o ochronie danych (RODO), administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania (privacy by design) oraz z zasadą domyślnej ochrony danych (privacy by default). Takie środki mogą polegać m.in. na:

  • minimalizacji przetwarzania danych osobowych,
  • jak najszybszej pseudonimizacji danych osobowych,
  • przejrzystości co do funkcji i przetwarzania danych osobowych,
  • umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych,
  • umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń czy też
  • przystępowania do zrzeszeń podmiotów funkcjonujących na podstawie kodeksów postępowania (dedykowane np. danej branży).

Artykuł 24 ogólnego rozporządzenia o ochronie danych (RODO) zobowiązuje administratora do wdrożenia odpowiednich środków technicznych i organizacyjnych realizujących wytyczne RODO, co trzeba będzie udowodnić, a przynajmniej uprawdopodobnić. Ponadto, środki te należy aktualizować w razie odpowiednich przesłanek.

Czy można pozbyć się odpowiedzialności za wdrożenie RODO

W zakresie działalności Instytutu Ochrony Danych Osobowych, który współtworzę, z nasilającą się częstotliwością otrzymujemy zapytania ofertowe zmierzające do tzw. wdrożenia ogólnego rozporządzenia o ochronie danych (RODO) u danego administratora danych. W głównej mierze podmioty składające takie zapytania ofertowe zmierzają jednak do całkowitego przeniesienia ciężaru odpowiedzialności prawnej na zleceniobiorcę.

Tak ukształtowane zlecenie najczęściej polega na tym, że zleceniobiorca, tj. każdy podmiot profesjonalnie zajmujący się ochroną danych osobowych, przyjmuje do wykonania zlecenie mające na celu nie tyle wdrożenie ogólnego rozporządzenia o ochronie danych (RODO), ile zdjęcie z administratora danych (zleceniodawcy) pełnej odpowiedzialności prawnej i finansowej w razie nałożenia na niego administracyjnej kary pieniężnej. Tego rodzaju zamiar zostaje uzewnętrzniony w treści postanowień umowy o współpracy (umowy zlecenia) w części regulującej wzajemną odpowiedzialność stron.

Wśród postanowień takich umów można przeczytać, że zleceniodawca przyjmuje na siebie pełną odpowiedzialność prawną za przygotowanie i wdrożenie dokumentacji zgodnej z ogólnym rozporządzeniem o ochronie danych (RODO), co daje bezpośrednie uprawnienie zleceniodawcy (ADO) do żądania od niego odszkodowania na tzw. zasadach ogólnych, tj. przewyższającego łączną wysokość uzyskanego wynagrodzenia, w przypadku negatywnych wniosków pokontrolnych Generalnego Inspektora Ochrony Danych Osobowych/Prezesa Urzędu Ochrony Danych Osobowych. O ile rozumiem intencję zleceniodawcy – ze względu na cywilnoprawną zasadę swobody nawiązywania umów – o tyle nie mogę się z nią zgodzić ze względu na istotę przepisów ogólnego rozporządzenia o ochronie danych (RODO).

RODO – kto jest odpowiedzialny za jego wdrożenie

Istotą przepisów RODO (oraz tych obecnie obowiązujących) jest zindywidualizowanie środków organizacyjnych i technicznych w zakresie procesu ochrony danych osobowych do potrzeb konkretnego administratora danych, który samodzielnie decyduje o środkach i celach przetwarzania danych osobowych. Z ratio legis tej normy prawnej wprost wynika, że podmiotem wyłącznie odpowiedzialnym za proces ochrony przetwarzania danych osobowych jest administrator danych, a nie podmiot opracowujący dla niego dokumentację. W tym miejscu należy podkreślić „dynamiczny” charakter prawny rzeczonej dokumentacji, co bezpośrednio wynika z art. 24 ust. 1 ogólnego rozporządzenia o ochronie danych (RODO). Zgodnie z nim dokumentacja jest poddawana przeglądom i uaktualniana.

Tym samym administrator danych, po tym jak otrzyma odpowiednią i adekwatną dokumentację, nie może poprzestać na jej jednorazowym przyjęciu czy też wdrożeniu. W toku prowadzenia swojego przedsiębiorstwa, w części dotykającej ochrony danych osobowych, powinien czuwać nad jej aktualnością, w przeciwnym razie utraci ona swój sens prawny i faktyczny.

Dlatego też żądanie przejęcia pełnej odpowiedzialności majątkowej (o charakterze odszkodowawczym) przez zleceniodawcę jest postulatem niepraktycznym i w gruncie rzeczy niefunkcjonalnym w przyszłości. Jedynym wyjątkiem jest wyznaczenie administratora bezpieczeństwa informacji/inspektora ochrony danych, który w pewien sposób będzie odciążał administratora danych w zakresie jego obowiązków prawnych, przy czym w dalszym ciągu to administrator będzie odpowiadał za działania inspektora ochrony danych.

Ważne:

W przypadku kontroli Generalnego Inspektora Ochrony Danych Osobowych/Prezesa Urzędu Ochrony Danych Osobowych oraz wskazania nieprawidłowości w zakresie wdrożonych środków organizacyjnych i technicznych, za które odpowiedzialny był administrator bezpieczeństwa informacji/inspektor ochrony danych, w dalszym ciągu to administrator danych będzie musiał wykazać, że zgodnie z zasadą rozliczalności wyznaczył do pełnienia tych obowiązków osobę, która ma odpowiednie kwalifikacje i wiedzę.

Podmiot zewnętrzny może przygotować odpowiednie procedury i dokumenty w pełni profesjonalnie i w pełni zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO). Niemniej jednak jego odpowiedzialność ustaje z chwilą wdrożenia tych dokumentów w „organizm” administratora danych, ponieważ wówczas to ADO przejmuje za nią pełną odpowiedzialność, co wprost wyraża art. 24 RODO. Dodatkowo dokumentacja ochrony danych będzie ulegała zmianom, nad którymi, co do zasady, nie będzie już czuwał podmiot zewnętrzny. Jedynym wyjątkiem od tej zasady jest stała, comiesięczna współpraca z podmiotem zewnętrznym.

Podstawa prawna: 
Paweł Biały

Autor: Paweł Biały

doktor nauk prawnych, prawnik praktyk, ekspert z zakresu prawa ochrony danych osobowych, administrator bezpieczeństwa informacji, prowadzi warsztaty i szkolenia, wykładowca akademicki, Instytut Ochrony Danych Osobowych

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel