Do Prezesa Urzędu Ochrony Danych Osobowych dotarły sygnały, że u przedsiębiorców pojawiają się osoby podające się za kontrolerów UODO. W jednym z przypadków osoby takie okazały legitymację i upoważnienie do kontroli. Dokumenty te były oczywiście fałszywe.
Prezes UODO informuje, że w najbliższym czasie będą miały miejsce kontrole i upoważnione do ich przeprowadzenia osoby będą pojawiać się w wyznaczonych do kontroli podmiotach. Ważne jest jednak zachowanie ostrożności i baczniejsze weryfikowanie tożsamości zgłaszających się osób.
Warto przypomnieć, że wzór legitymacji, którą posługują się kontrolerzy Urzędu jest określony we wciąż obowiązującym rozporządzeniu ministra spraw wewnętrznych i administracji z 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych.
Jednym z zabezpieczeń takiej legitymacji jest m.in. hologram. Musi on być na każdej legitymacji, którą posługują się kontrolerzy Prezesa UODO.
Ponadto Urząd co do zasady pisemnie uprzedza o planowanej kontroli. Ponadto w przypadku wątpliwości co do wiarygodności osoby, która okaże dokumenty upoważniające do kontroli, istnieje możliwość telefonicznego zweryfikowania, czy rzeczywiście jest tą, za którą się podaje i jest upoważniona przez Prezesa UODO do przeprowadzenia kontroli. W tym celu można się kontaktować pod numer 22 531 07 71.
Odbierająca go osoba może zweryfikować:
- imię i nazwisko osoby,
- numer legitymacji,
- fakt wydania upoważnienia do prowadzenia kontroli w danym podmiocie.
Źródło: https://uodo.gov.pl/pl/138/465
Umowy powierzenia przetwarzania danych osobowych nie są tak naprawdę niczym nowym. Obowiązek ich zawierania istniał już przed rozpoczęciem obowiązywania RODO, lecz świadomość konieczności regulacji przepływu danych za pomocą umowy była o wiele mniejsza niż obecnie. Zmianą, jaką przyniosło RODO jest zakres umowy, znacznie szerszy niż dotychczas.
Zakres umowy powierzenia może stać się przyczyną problemów, przede wszystkim, gdy administrator próbuje nałożyć na podmiot przetwarzający wiele restrykcyjnych obowiązków. W ostatnich miesiącach niejednokrotnie spotykam się z umowami, których celem jest niezwykle mocne zabezpieczenie interesów administratora. Niestety obowiązki nałożone za pomocą takich umów na podmiot przetwarzający są zazwyczaj niewykonalne. Prowadzi to do długich negocjacji lub jest przyczyną odmowy zawarcia umowy.
Oczywiście zadaniem administratora jest jak najlepiej dbać o przetwarzane przez niego dane osobowe, czemu można dać wyraz w umowie powierzenia przetwarzania danych. Uważam jednak, że należy wziąć również pod uwagę interesy i możliwości organizacyjne lub techniczne podmiotu przetwarzającego. Dzięki temu podmiot przetwarzający będzie bardziej skłonny zawrzeć umowę, zaś administrator będzie miał większą pewność, że w razie potrzeby druga strona wykona nałożone na nią obowiązki.
W pierwszej kolejności należy się zastanowić, czy w ogóle istnieje potrzeba dokładnego uregulowania współpracy, w ramach której dochodzi do powierzenia przetwarzania danych osobowych? Być może wystarczy umowa zbudowana przede wszystkim w oparciu o ogólne postanowienia określone w art. 28 RODO? Jeśli natomiast potrzebujemy dokładniejszych regulacji, ustalmy, na czym najbardziej nam zależy. Pod uwagę warto wziąć również renomę kontrahenta, poziom wykonywanych przez niego usług czy dotychczasową współpracę.
Oto lista zagadnień, które moim zdaniem najczęściej prowadzą do sporów pomiędzy administratorem a podmiotem przetwarzającym w trakcie negocjacji umowy powierzenia przetwarzania danych osobowych:
- odpowiedzialność podmiotu przetwarzającego (stosowanie kar umownych, szeroki zakres odpowiedzialności);
- tryb rozwiązywania umowy w przypadku jej nieprawidłowego wykonania (rozmaite przyczyny rozwiązania, brak uwzględnienia konieczności dokończenia współpracy);
- audyty (wykonywanie ich w sposób naruszający organizację pracy podmiotu przetwarzającego, zakres audytu);
- zabezpieczenie danych (konieczność spełnienia o wiele surowszych wymagań niż przewiduje to RODO);
- współpraca przy realizacji żądań osób, których dane są przetwarzane (nieuwzględnianie konieczności poniesienia nakładów finansowych oraz wysiłku organizacyjnego przed podmiot przetwarzający).
Oczywiście, jeśli uda się nam zawrzeć umowę, zgodnie z którą podmiot przetwarzający weźmie na siebie szereg obowiązków, będziemy mieli problem z głowy. Jednak w przypadku, gdy najważniejsze będzie dla nas, aby kontrahent zgodził się na restrykcyjne postanowienia, może okazać się, że do podpisania umowy w ogóle nie dojdzie. Zmusi nas to albo do szukania nowego podmiotu przetwarzającego, albo do dalszej współpracy przy jednoczesnym braku umowy (jeśli wyżej będziemy cenić sam fakt współpracy niż zgodność z przepisami RODO).
Brak systemowych regulacji dotyczących wykorzystania monitoringu wizyjnego rodzi w Polsce wiele problemów, w tym na gruncie przepisów o ochronie danych osobowych. Dlatego też Prezes Urzędu Ochrony Danych Osobowych przygotował specjalne wskazówki na temat monitoringu, które obecnie poddawane są konsultacjom.
Oczywiście wskazówki mogą ulec jeszcze zmianom, ale już teraz warto się z nimi zapoznać. Najciekawsze informacje, będące odpowiedziami na często zadawane pytania rozpoczynają się od strony 18.
Dokument dostępny jest tutaj.