Powierzenie przetwarzania danych to nie jest produkcja makulatury ani samo tylko przenoszenie odpowiedzialności za określone obszary na podwykonawców (choć ten element również jest ważny). Niedbalstwo i błędy w tym zakresie pociągają za sobą realne problemy dla obu stron przy rejestracji czynności przetwarzania, a tego rodzaju mankamenty systemu są widoczne gołym okiem i wyjdą przy każdej, nawet zgrubnej kontroli.

Jako Powierzający: Piszcie wprost, czy jesteście Administratorem, czy „podpowierzacie” (art. 28 ust. 2 RODO), oraz czy dochodzi do współadministracji (art. 26 RODO). Podawajcie dane kontaktowe Inspektora Ochrony Danych (najlepiej tak, aby ich zmiana nie wymagała aneksowania umowy). Ustalajcie jasne systemy udokumentowanego polecenia przetwarzania oraz występowania o zgodę na podpowierzenie. Wasz procesor potrzebuje tych informacji do opracowania RKCP oraz zapewnienia sprawnej obsługi.

Jako Procesor: Przedstawcie ogólny opis technicznych i organizacyjnych środków bezpieczeństwa (art. 32 ust. 1 RODO). To, że to Państwo realizujecie czynności nie zwalnia Administratora z obowiązku monitorowania środków ochrony. Puste pole w wymaganej prawem kolumnie RCP powierzającego momentalnie zwróci uwagę kontrolera. Piszcie otwartym tekstem, jakich danych potrzebujecie do identyfikacji osób aby móc pomóc realizować prawa podmiotów danych (art. 28 ust. 3 lit. e RODO). Nie ograniczajcie się do ogólnikowego zapisu aby uniknąć późniejszych frustracji i nieporozumień. Podawajcie dane kontaktowe do osób, które będą umiały wesprzeć Administratora w zakresie ryzyka, DPIA oraz praw podmiotów danych (najlepiej tak, aby zmiana tych danych nie wymagała aneksowania umowy).

Skuteczne i mądre powierzenie przetwarzania danych usprawnia, a nie utrudnia współpracę!