Dalsze powierzenie danych osobowych. Wskazówki dla administratorów i podmiotów przetwarzających

Jak ważne w praktyce jest zawieranie umów powierzenia przetwarzania danych osobowych z podwykonawcami przekonać mogliśmy już na podstawie kar finansowych nakładanych przez Prezesa Urzędu Ochrony Danych Osobowych.

Jednak jak istotna jest odpowiednia weryfikacja partnera biznesowego, który zapewnia nam konkretną usługę pod kątem odpowiedniego przetwarzania przez niego danych osobowych i tego, z jakich podwykonawców korzysta, pokazuje wyraźnie sprawa firmy kurierskiej współpracującej z siecią marketów, ukaranej przez hiszpański organ ochrony danych osobowych.

ADO musi badać czy jego kontrahent korzysta z podwykonawców

Sprawa dotyczyła doręczenia przesyłki zakupionej przez indywidualnego klienta sieci Carrefour. Spółka posiadała podpisaną umowę powierzenia przetwarzania danych osobowych z podmiotem zajmującym się dostawą przesyłek. Ten jednak – bez wiedzy Carrefour, korzystał z dalszych podwykonawców – nie zawierając jednak z nimi analogicznych umów podpowierzenia danych klientów sklepu.

Skargę do organu nadzoru złożył sam klient, ponieważ z powodu jego nieobecności w domu, zaadresowana do niego paczka została przekazana osobie, której nie upoważnił do odbioru – a co za tym idzie – zostały ujawnione jej dane skarżącego jak: imię, nazwisko, dane kontaktowe, numer rachunku.

Kara za brak nadzoru ADO

Hiszpański organ ochrony danych nałożył na firmę kurierską karę w wysokości 72 tysięcy euro, uznając że naruszyła obowiązki w zakresie prawidłowego dalszego powierzenia przetwarzania danych określone w RODO.

Nieprawidłowości dotyczyć miały:

• niepoinformowania Carrefour o korzystaniu przez firmę kurierską z podwykonawców w celu realizacji dostaw zamówień na rzecz sieci marketów;
• braku uzyskania zgody Carrefour na dalsze podwykonawstwo w zakresie dostaw;
• braku pisemnej umowy podpowierzenia danych pomiędzy firmą kurierską a jej podwykonawcami.

Kluczowa umowa powierzenia przetwarzania danych

Opisane naruszenia miały charakter formalny – brak odpowiednich dokumentów i formalnych uzgodnień – jednak w konsekwencji skutkowały nie tylko niewłaściwym zrealizowaniem usługi (a więc niezadowoleniem klienta), ale również naruszeniem bezpieczeństwa danych osobowych (a więc wymiernym ryzykiem szkody podmiotu danych, jakim był klient).

Temu właśnie – na płaszczyźnie danych osobowych – zapobiegać ma prawidłowy łańcuch umów powierzenia i dalszego powierzenia danych osobowych pomiędzy administratorem danych a podmiotami, którym zleca określone usługi (najczęściej na rzecz własnych klientów lub pracowników).

Jak zabezpieczyć się w relacjach z partnerami biznesowymi?

Z opisanego wyżej przypadku wywieść można następujące wskazówki dla:

Administratorów:

• Przed wyłonieniem dostawcy jakichkolwiek usług wiążących się chociażby pośrednio z przetwarzaniem danych osobowych (np. zewnętrzna obsługa kadrowa/księgowa/ochroniarska/IT/szkolenia) – warto zweryfikować go pod kątem przestrzegania zasad ich ochrony. Służyć temu mogą przede wszystkim odpowiednie ankiety sprawdzające.
• Umowa powierzenia przetwarzania danych to element must have wyoutsourcowania każdego procesu wiążącego się z przetwarzaniem danych. Za jej brak Prezes UODO nałożyć może karę pieniężną w wysokości do równowartości 10.000.000 EUR, 2% całkowitego rocznego obrotu;
• W umowie powierzenia warto zastrzec kary umowne za naruszenie przez podmiot przetwarzający jego obowiązków – co znacznie ułatwi ewentualną rekompensatę szkody.
• Poza formalnym podpisaniem umowy powierzenia, warto co jakiś czas kontrolować dostawcę usług pod kątem odpowiedniego przetwarzania i dalszego przekazywania powierzonych mu danych – takie uprawnienie dają nam wprost przepisy RODO.

Podmiotów przetwarzających:

• Warto zwrócić uwagę, czy umowa powierzenia przewiduje możliwość posługiwania się dalszymi podwykonawcami i przekazywania im danych osobowych uzyskanych od administratora.
• Jeśli przy zawarciu umowy powierzenia przetwarzania już posługujemy się podwykonawcami – konieczne jest poinformowanie o tym administratora i uzyskanie jego zgody.
• Jeśli dojdzie już do naruszenia bezpieczeństwa danych przekazanych przez administratora – należy poinformować go o tym niezwłocznie – co pozwoli na zminimalizowanie naszej odpowiedzialności przed nim ale również przed Prezesem UODO.

W ramach prowadzonej praktyki ochrony danych osobowych na bieżąco wspieramy naszych Klientów w odpowiednim doborze i weryfikacji podmiotów przetwarzających, by tym samym zmniejszyć ryzyko niezgodności z przepisami.

W razie chęci podniesienia standardu bezpieczeństwa w tym obszarze – zapraszamy do kontaktu: amajewska@kancelaria-szip.pl