Decyzja opublikowana na stronie UODO dostarcza kilku cennych wniosków dla administratorów danych:

1. Wszelkie przetwarzanie danych osobowych przez podmiot przetwarzający musi być uregulowane umową lub innym aktem prawnym zawartym między administratorem, a podmiotem przetwarzającym, zgodnie z wymogami art. 28 ust. 3 RODO. W przeciwnym wypadku mamy do czynienia z naruszeniem ww. przepisów.
2. Sam fakt nie posiadania umowy powierzenia przetwarzania danych osobowych nie powoduje, iż relacja administrator – podmiot przetwarzający nie istnieje. Ta relacja jest faktyczna i pociąga za sobą określone konsekwencje i skutki prawne.
3. Za zapewnienie zawarcia umowy powierzenia odpowiadają obie strony procesu powierzenia przetwarzania danych – zarówno administrator, jak i procesor. 
4. Na administratorze, czyli na podmiocie, który decyduje o sposobach i celach przetwarzania, spoczywa obowiązek zapewnienia bezpieczeństwa danych osobowych, zatem to na administratorze spoczywa odpowiedzialność za prawidłowy dobór podmiotu przetwarzającego.
5. Administrator, chcąc przetwarzać dane przy pomocy innego podmiotu, powinien korzystać wyłącznie z usług takich podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Brak weryfikacji podmiotu przetwarzającego oraz jego gwarancji dla przetwarzania zgodnie z przepisami o ochronie danych osobowych może wiązać się z konsekwencjami dla osób fizycznych, których dane osobowe zostały powierzone podmiotowi przetwarzającemu, w postaci utraty ich poufności i dostępności.
6. Nie wystarczy, że administrator zweryfikuje procesora pod kątem zapewnienia wystarczających gwarancji przed powierzeniem mu danych do przetwarzania. Jest to obowiązek ciągły, zatem również w trakcie trwania powierzenia administrator powinien weryfikować, czy nie pojawiają się sygnały ostrzegawcze, że bezpieczeństwo przetwarzania danych jest zagrożone. Bowiem obowiązek korzystania z usług podmiotów zapewniających odpowiedni poziom bezpieczeństwa danych osobowych trwa przez cały okres powierzenia.
7. Podmiot przetwarzający można zweryfikować poprzez przeprowadzenie u niego audytu lub inspekcji, można również zastosować ankiety weryfikujące podmiot przetwarzający, w których wskazuje on stosowane techniczne i organizacyjne środki zabezpieczenia danych osobowych, można również odebrać oświadczenie od procesora o tym, jakie daje gwarancje bezpiecznego przetwarzania powierzanych danych. Oczywiście, jak wskazuje w decyzji UODO „Ocena administratora, czy gwarancje są wystarczające, jest formą oceny ryzyka, która  w znacznym stopniu zależy od rodzaju przetwarzania powierzonego podmiotowi przetwarzającemu  i musi być dokonywana indywidualnie dla każdego przypadku, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania, a także zagrożeń dla praw i wolności osób fizycznych”.
8. Zawsze udokumentuj proces powierzenia przetwarzania danych zewnętrznemu podwykonawcy: najpierw poprzez pisemną weryfikację podmiotu przetwarzającego w zakresie zapewnianych gwarancji, a potem poprzez zawarcie stosownej, pisemnej umowy powierzenia. Dzięki temu będziesz w stanie wykazać przestrzeganie przepisów o ochronie danych osobowych tzw. zasady rozliczalności. 
9. Dzięki formalnemu uregulowaniu relacji administrator – podmiot przetwarzający będziesz mógł wyegzekwować, w zależności od swojego (administratora) wyboru, zwrot lub usunięcie wszelkich powierzonych danych osobowych. Niestety SOK nie był w stanie odzyskać części dokumentacji dotyczących pracowników, co stanowi naruszenie dostępności danych osobowych.
10. A po dziesiąte… Zweryfikuj zawarte umowy z podwykonawcami i zastanów się, czy czasem nie powierzasz im przetwarzania danych osobowych w związku z zawartą umową na świadczenie usług. Jeżeli tak, a nie masz zawartej umowy powierzenia, jak najszybciej wypełnij obowiązki z art. 28 RODO: zweryfikuj procesora i zadbaj o podpisanie umowy. Jeżeli masz wątpliwości jak to zrobić lub potrzebujesz pomocy w audycie umów powierzenia chętnie Ci pomożemy 😊 Skontaktuj się z nami!