Wykonawca podobnie jak jego klient powinien zabezpieczyć dane osobowe

Najlepiej, jeśli zawrze z administratorem danych (zamawiającym) pisemną umowę na przetwarzanie danych, w tym danych osób odpowiedzialnych za realizację kontraktu i wskazanych w jego treści.

W tym dokumencie należy zapisać zakres i cel przetwarzania. Wykonawca, jeszcze przed przystąpieniem do przetwarzania, powinien podjąć środki zabezpieczające zbiór i spełnić wszystkie wymogi, które odnoszą się do administratora danych (ADO). Wykonawca będzie ponosił taką samą odpowiedzialność jak ADO. Dlatego powinien najpóźniej w momencie podpisywania umowy uzyskać od klienta kompletne i rzetelne informacje o obowiązkach, jakie spoczywają na nim w związku z przetwarzaniem danych. W praktyce najczęściej chodzi o wymagany prawem poziom zabezpieczeń systemu informatycznego. Należy pamiętać, że GIODO może dokonać kontroli także tego podmiotu, któremu powierzono przetwarzanie danych. Nie będą wówczas skuteczne próby podnoszenia przez wykonawcę, że umowę o powierzenie danych skonstruował zamawiający i to on ponosi odpowiedzialność za jej treść. GIODO odpowie wtedy, że jest to umowa cywilnoprawna i obie strony miały wpływ na jej treść. Dlatego warto zachować wszelkie dowody (np. e-maile czy dokumentację przetargową) wskazujące na małą elastyczność zamawiającego w dopuszczaniu modyfikowania postanowień umowy o przetwarzanie danych osobowych.

Z drugiej strony zamawiający musi być świadomy, że powierzenie przetwarzania danych innemu podmiotowi w żaden sposób nie zwalnia go z jego odpowiedzialności. Stąd też konieczne jest sprawowanie kontroli nad czynnościami realizowanymi przez wykonawcę, ponieważ za jego błędy może także odpowiedzieć ADO.

Zamawiający, wybierając firmę, której powierzy przetwarzanie danych osobowych, powinien sprawdzić czy jest w niej stanowisko administratora bezpieczeństwa informacji (pozwala to na spersonalizowanie odpowiedzialności), jaki jest poziom zabezpieczeń i czy wydano pracownikom upoważnienia do przetwarzania.