W poprzednim artykule wyjaśniliśmy różnice między administratorem a procesorem danych osobowych. To fundament, który pozwala poprawnie stosować przepisy RODO. Teraz czas przyjrzeć się bliżej temu, jakie obowiązki spoczywają na administratorze danych zgodnie z art. 28 RODO.
To właśnie administrator decyduje o celach i sposobach przetwarzania danych, dlatego ponosi najszerszą odpowiedzialność za ich bezpieczeństwo i zgodność z prawem.
1. Wybór procesora z „wystarczającymi gwarancjami”
Art. 28 ust. 1 RODO nakłada na administratora obowiązek korzystania wyłącznie z takich podmiotów przetwarzających, które dają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych.
👉 W praktyce oznacza to, że administrator musi sprawdzić:
- czy dostawca usług stosuje zabezpieczenia (np. szyfrowanie, backupy, kontrolę dostępu),
- jakie ma certyfikaty lub audyty (ISO 27001, SOC 2),
- czy jest w stanie spełnić wymagania dotyczące ochrony danych w konkretnym sektorze (np. medycznym, finansowym).
2. Zawarcie umowy powierzenia przetwarzania danych
Jeśli administrator powierza dane osobowe procesorowi, musi podpisać umowę powierzenia przetwarzania danych (DPA). Bez tego współpraca jest niezgodna z RODO.
Umowa musi określać m.in.:
- przedmiot i czas trwania przetwarzania,
- charakter i cel przetwarzania,
- rodzaj danych i kategorie osób,
- obowiązki administratora i procesora.
3. Nadzór nad procesorem i subprocesorami
Administrator nie może „oddać danych i zapomnieć”. Ma obowiązek:
- nadzorować, czy procesor przetwarza dane zgodnie z umową i RODO,
- kontrolować korzystanie z podwykonawców (subprocesorów),
- wymagać zgody na dalsze powierzenie danych.
W praktyce administrator powinien mieć procedury audytu i weryfikacji procesorów – nie tylko na etapie wyboru, ale również w trakcie współpracy.
4. Dokumentowanie działań i decyzji
Zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO) administrator musi być w stanie wykazać, że podjął odpowiednie działania. Dlatego powinien:
- dokumentować kryteria wyboru procesorów,
- przechowywać kopie umów powierzenia,
- prowadzić rejestr podmiotów przetwarzających dane.
5. Odpowiedzialność prawna
To administrator odpowiada wobec osób, których dane są przetwarzane, oraz wobec organu nadzorczego. Jeśli procesor naruszy przepisy, administrator i tak może być pociągnięty do odpowiedzialności – chyba że wykaże, że zrobił wszystko, co mógł, aby zapobiec naruszeniu.
Najczęstsze błędy administratorów
❌ wybór procesora wyłącznie pod kątem ceny, bez weryfikacji bezpieczeństwa,
❌ brak formalnej umowy powierzenia danych,
❌ brak kontroli nad subprocesorami (np. dostawcą chmury),
❌ podpisanie umowy, ale brak faktycznego nadzoru i audytów.
Podsumowanie
Administrator danych pełni kluczową rolę w systemie ochrony danych osobowych. To on odpowiada za to, komu i na jakich zasadach powierza dane. Art. 28 RODO jasno wskazuje, że umowa powierzenia i nadzór nad procesorem nie są formalnością, ale realnym obowiązkiem.
W praktyce właściwe wypełnianie obowiązków przez administratora to nie tylko zgodność z przepisami, ale też budowanie zaufania klientów i partnerów biznesowych.
👉 W kolejnym wpisie z serii „Art. 28 RODO w praktyce” opowiemy o obowiązkach procesora danych – co musi robić, aby wspierać administratora i działać zgodnie z RODO.
Twoje bezpieczeństwo to nasza pasja! 🌐 Jeśli interesuje Cię ochrona danych osobowych, bezpieczeństwo informacji czy cyberbezpieczeństwo, zajrzyj na stronę CAB oraz Platformę Cyberbezpieczeństwa. Szukasz informacji o ochronie sygnalistów? 📢 Sprawdź stronę Kanału Zgłoszeniowego. Czekają tam praktyczne porady i ekspercka wiedza!