
Odpowiedzialność za bezpieczeństwo danych osobowych – kara nałożona na McDonald’s Polska Sp. z o.o.

RODO
- wiedza fachowa podmiotu przetwarzającego (np. wiedza techniczna w zakresie środków bezpieczeństwa i naruszeń ochrony danych);
- wiarygodność podmiotu przetwarzającego;
- zasoby podmiotu przetwarzającego oraz
- stosowanie przez podmiot przetwarzający zatwierdzonego kodeksu postępowania lub mechanizmu certyfikacji.
EROD
Administrator wyjaśniał, że cały proces, w tym obsługa, została przez niego zlecona podmiotowi przetwarzającemu, a on sam nie posiadał odrębnego panelu administracyjnego (chociaż istniała taka możliwość). Natomiast podmiot przetwarzający tłumaczył, że nie poczuwał się do zapewnienia odpowiedniego do ryzyka poziomu bezpieczeństwa powierzonych danych osobowych przetwarzanych za pomocą modułu grafików pracowniczych, gdyż nie uznawał go za zasób, za który odpowiada. W związku z tym – ani administrator, ani podmiot przetwarzający nie przeprowadzili analizy ryzyka. Nie wdrożono też środków technicznych i organizacyjnych odpowiednich do skali przetwarzania, co doprowadziło do naruszenia.
Podsumowując
- Dobór podwykonawców musi uwzględniać bezpieczeństwo powierzanych do przetwarzania danych osobowych; w żadnym razie administrator nie może przekazać danych osobowych, za które odpowiada niesprawdzonemu podmiotowi przetwarzającemu,
- W umowach należy szczegółowo określić wzajemne obowiązki stron, też w zakresie zabezpieczenia danych osobowych,
- Konieczne jest zawarcie umowy powierzenia przetwarzania,
- Konieczne jest regularne badanie i testowanie podmiotu przetwarzającego co do stosowanych przez niego środków bezpieczeństwa danych osobowych.
Kontakt
Jeśli potrzebują Państwo wsparcia prawnego w zakresie ochrony danych osobowych – zapraszamy do kontaktu z Kancelarią.

Małgorzata Zysk
