Jak weryfikować podmiot przetwarzający?
Publikujemy kolejny artykuł z serii odpowiedzi na pytania naszych klientów. Padło i nadal pada wiele pytań odnośnie podmiotów przetwarzających dane osobowe w imieniu administratora.
Niemal każda organizacja powierza dane osobowe swoim dostawcom
Relacje pomiędzy administratorem, a podmiotem przetwarzającym dane osobowe (procesorem) trzeba odpowiednio uregulować. To głownie zadanie administratora by te relacje uwzględnił w systemie ochrony danych swojej organizacji. Model prowadzenia działalności gospodarczej się zmienia. Niemal każda organizacja powierza dane osobowe dostawcom – outsourcing usług np. w obszarze kadrowym i płacowym, informatycznym, marketingowym, call center czy archiwizacji dokumentów. To już przed zawarciem umowy administrator powinien sprawdzić, czy potencjalny przyszły procesor daje gwarancję bezpieczeństwa przetwarzania danych osobowych i realizacji innych obowiązków wynikających z RODO.
Weryfikacja procesora pod względem ochrony danych osobowych
Przepisy RODO określają ogólnie, iż przetwarzanie danych osobowych przez procesora powinno spełniać wymogi rozporządzenia, w tym chronić prawa podmiotów danych (art. 28 ust. 1 RODO) oraz spełniać wymogi bezpieczeństwa (motyw 81 Preambuły RODO). W tym celu procesor jest zobowiązany wdrożyć odpowiednie środki techniczne i organizacyjne. Przed rozpoczęciem współpracy z potencjalnym procesorem administrator powinien ocenić, czy daje on gwarancje przetwarzania danych zgodnie z powyższymi wymogami. Sposób weryfikacji, pytania zadawane procesorowi, ich dokładność i zakres mogą być różne w zależności od charakteru powierzenia i zakresu powierzonych danych. Z pewnością jednak podmiot, który nie posiada procedury notyfikacji naruszeń, nie prowadzi obowiązkowych rejestrów (naruszeń, czynności przetwarzania, kategorii czynności) lub nie szkoli i nie upoważnia swoich pracowników, powinien powodować u nas zapalenie się „czerwonej lampki”; nie dyskryminuje to od razu takiego podmiotu. Jednak powinny być to jedne z elementów sprawdzanych przez administratora. Administrator musi zweryfikować działalność procesora w taki sposób, aby móc ocenić, czy przetwarzanie przez niego danych nie doprowadzi do naruszenia ochrony danych osobowych, naruszenia umowy lub przepisów RODO. Zgodnie z motywem 81 Preambuły RODO odpowiedni podmiot przetwarzający powinien legitymować się:
- wiedzą fachową (kompetencje personelu, doświadczenie);
- wiarygodnością (np. certyfikaty ISO, wdrożone kodeksy postępowania, ewentualnie przebieg dotychczasowej współpracy);
- zasoby (zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, stosowanie wewnętrznych procedur).
Na tej podstawie administrator może ocenić gwarancje procesora w zakresie wdrożenia środków technicznych i organizacyjnych zapewniających właściwe stosowanie przepisów RODO. Na tym etapie weryfikacji procesora może być stosowana lista kontrolna; również wprowadzona przez naszą firmę.
Powierzenie danych osobowych procesorowi
Po tym etapie weryfikacji, oceny i wyłonieniu odpowiedniego procesora, całość relacji łączącej administratora z procesorem powinna być unormowana w ramach umowy powierzenia danych. Należy pamiętać że po podpisaniu umowy powierzenia administrator ma również swoje prawa weryfikacji podmiotu. Kluczowym w tym zakresie jest art. 28 ust.3 lit. h RODO, który nie tylko daje prawo administratorowi kontroli, ale kontrola jego obowiązkiem. W ramach kształtowania się praktyki w stosowaniu przepisów RODO, popularne staje się regulowanie w ramach umowy powierzenia uprawnienia po stronie administratora do przeprowadzenia audytu również u podprocesorów. Tendencja do uregulowania tego zagadnienia w ramach umowy wynika z treści art. 28 ust. 4 RODO. Zgodnie z nim podmiot przetwarzający może podpowierzyć dane osobowe jedynie na podstawie umowy zawartej ze swoim podwykonawcą, której treść zapewniać będzie stosowanie przez podwykonawcę środków gwarantujących przetwarzanie zgodnie z wymogami RODO. W interesie administratora pozostaje zatem zapewnienie sobie możliwości przeprowadzenia audytu u podprocesora, w celu utrzymania pełnej kontroli nad przetwarzanymi przez niego danymi osobowymi. Jak wynika jednak z art. 28 ust. 3 lit. h RODO, audyt nie jest jednak jedyną formą weryfikacji podmiotu przetwarzającego. Podkreślenia wymaga, że przywołany przepis obliguje procesora czy podporcesora do udostępniania administratorowi wszelkich informacji, wykazujących przestrzeganie przepisów RODO w zakresie powierzenia przetwarzania danych w tym bezpieczeństwa danych osobowych.
Treść dokumentu stanowiącego dowód z przeprowadzonej weryfikacji, powinien być na tyle precyzyjny, aby pozwalał administratorowi na uzyskanie szczegółowych informacji w zakresie stosowanych przez podmiot przetwarzający środków technicznych i organizacyjnych, które zapewnić mają zgodność z przepisami RODO oraz bezpieczeństwo danych osobowych przetwarzanych w imieniu administratora. RODO nie określa, w jaki sposób należy dokonywać weryfikacji zapewnienia przez procesora czy podprocesora gwarancji przetwarzania danych zgodnie z przepisami (pomijając stosowanie zatwierdzonych kodeksów postępowania lub mechanizmów certyfikacji).
Rozpoczęcie współpracy z procesorem, który nie zapewnia odpowiednich gwarancji, jest naruszeniem obowiązków administratora. Również brak weryfikacji lub brak udokumentowania jej przeprowadzenia naraża administratora na zarzut naruszenia przepisów RODO. W takim przypadku – oprócz odpowiedzialności administracyjnoprawnej – wzrasta ryzyko naruszenia praw i wolności podmiotów danych, co może skutkować dodatkowymi konsekwencjami dla administratora. Stosowanie tzw. listy kontrolnej procesora jest dobrym rozwiązaniem, gdyż pozwala zarówno na ocenę zgodności, jak i na jej udokumentowanie. Rzadko zdarzają się natomiast osobiste wizyty audytorów administratora, składane potencjalnym podmiotom przetwarzającym w celu sprawdzenia ich zdolności do przetwarzania danych osobowych zgodnie z przepisami. Pamiętajmy że administrator ma obowiązek przestrzegania przepisów RODO i musi być w stanie wykazać ich przestrzeganie (art. 5 ust. 2 RODO).
Jeśli nie wiesz czy dobrze zweryfikowałeś procesora, prawidłowo sporządziłeś umowę powierzenia, skontaktuj się z naszymi specjalistami:
e-mail: pomoc@rodo-online.eu
tel. +48 885 206 000
tel. +48 885 960 500