W poprzednich wpisach z serii omówiliśmy role administratora i procesora, ich obowiązki, znaczenie umowy powierzenia oraz zasady podpowierzenia danych. Na zakończenie przyjrzyjmy się temu, co w praktyce sprawia organizacjom największy problem – błędnemu stosowaniu art. 28 RODO.
1. Brak umowy powierzenia przetwarzania danych
To najpoważniejszy i jednocześnie najczęstszy błąd.
Firmy korzystają z usług podmiotów zewnętrznych (np. IT, księgowość, marketing), ale nie zawierają wymaganej umowy powierzenia.
❌ Skutek: przetwarzanie danych jest niezgodne z RODO i grozi poważnymi sankcjami.
✅ Jak uniknąć: każda współpraca, w której podmiot zewnętrzny ma dostęp do danych osobowych, powinna być zabezpieczona umową powierzenia.
2. Zbyt ogólne zapisy w umowie
Umowy często sprowadzają się do lakonicznych klauzul, które nie wskazują rodzaju danych, celów przetwarzania czy zasad usuwania danych.
❌ Skutek: brak realnej ochrony i trudności w egzekwowaniu odpowiedzialności.
✅ Jak uniknąć: dopasować treść umowy do rzeczywistego zakresu i charakteru współpracy.
3. Brak kontroli nad procesorem
Wielu administratorów uważa, że podpisanie umowy wystarczy. Tymczasem art. 28 RODO nakłada obowiązek nadzoru nad procesorem i jego subprocesorami.
❌ Skutek: administrator traci kontrolę nad tym, kto i jak przetwarza dane.
✅ Jak uniknąć: prowadzić audyty, żądać raportów, aktualizować umowy wraz ze zmianami usług.
4. „Dzikie” podpowierzenie danych
Procesor zleca część usług kolejnemu podmiotowi (subprocesorowi) bez wiedzy i zgody administratora.
❌ Skutek: administrator nie wie, kto faktycznie ma dostęp do danych, a dane mogą trafić poza EOG.
✅ Jak uniknąć: zawsze wymagać listy subprocesorów i prawa sprzeciwu wobec nowych podmiotów.
5. Traktowanie danych administratora jak własnych
Niektórzy procesorzy, zamiast działać wyłącznie na polecenie administratora, wykorzystują dane np. do celów marketingowych.
❌ Skutek: naruszenie podstawowej zasady RODO – lojalności wobec administratora i osób, których dane dotyczą.
✅ Jak uniknąć: jasno uregulować cele i zasady przetwarzania w umowie, prowadzić kontrolę nad procesorem.
6. Brak dokumentacji i dowodów
Nawet jeśli organizacja działa zgodnie z RODO, często nie ma dokumentów, które to potwierdzają (np. procedur wyboru procesora, protokołów audytów, kopii umów).
❌ Skutek: w przypadku kontroli UODO brak możliwości wykazania zgodności.
✅ Jak uniknąć: prowadzić rejestr procesorów, archiwizować umowy i dokumentować decyzje.
Podsumowanie
Art. 28 RODO to nie formalność, ale fundament bezpiecznej współpracy między administratorem a procesorem. Najczęstsze błędy wynikają z pośpiechu, niedoceniania ryzyka lub traktowania wymagań RODO jako „papierologii”.
👉 Kluczem jest świadomość i praktyka: dobrze skonstruowane umowy, realna kontrola, jasna komunikacja z procesorami i subprocesorami. Organizacja, która stosuje art. 28 RODO konsekwentnie i świadomie, nie tylko spełnia wymogi prawa – buduje też zaufanie klientów i partnerów.
Twoje bezpieczeństwo to nasza pasja! 🌐 Jeśli interesuje Cię ochrona danych osobowych, bezpieczeństwo informacji czy cyberbezpieczeństwo, zajrzyj na stronę CAB oraz Platformę Cyberbezpieczeństwa. Szukasz informacji o ochronie sygnalistów? 📢 Sprawdź stronę Kanału Zgłoszeniowego. Czekają tam praktyczne porady i ekspercka wiedza!