Praktyka stosowania rozporządzenia ogólnego RODO przynosi administratorom szereg nieoczekiwanych problemów związanych ze stosowaniem powierzania danych zgodnie z art. 28. Wskazana tam dominacja administratora opisana w art.1 cyt: „Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą” pozostaje bardzo często w konflikcie z jednoznacznym stanowiskiem podmiotu przetwarzającego, szczególnie z branży informatycznej dostawców oprogramowania o zasięgu ogólnopolskim. W zasadzie można byłoby taką sytuację spuentować ….albo na naszych warunkach, albo kupcie sobie inne oprogramowanie i podpisujcie nowe umowy.
Podczas jednego z ostatnich audytów zgodności z RODO, inspektor ochrony danych podmiotu przetwarzającego odrzucił moje propozycje w zakresie dostosowania umowy do art. 28 wskazując ( o tempora, o mores), że ma tylu klientów, że nie będzie zajmował się pojedynczym przypadkiem. Umowy powierzenia są produktem prawnym podmiotu przetwarzającego ( sic!) i na inne podmiot się nie godzi. Ciekawostką było nawet stwierdzenie, że zadaniem przedstawiciela administratora jest okresowy kontakt z podmiotem celem ustalenia aktualnej listy osób świadczących usługi serwisowe ( pracowników podmiotu). Znaczącym nadużyciem jest ograniczenie wykonywania prawa audytu opisane w art. 28 ust. 3 lit. h z uwagi na tajemnice handlowe i technologii podmiotu przetwarzającego. Takich przykładów jest kilkadziesiąt. Nie mniej jednak stanowią istotny problem wykazywania się przez administratorów stosowaniem art. 28 rozporządzenia ogólnego.
Leszek Malinowski