Należyte przygotowanie swojej firmy do ochrony danych osobowych stanowi nie tylko realizację obowiązku nałożonego przez bezwzględnie obowiązujące przepisy, ale jest również przejawem prowadzenia biznesu na miarę XXI wieku. Wszyscy już rozumieją, że dane osobowe mają wymierną wartość finansową i dlatego należy je chronić.

W tym celu właśnie powstało RODO – dokument na skalę europejską, o charakterze ogólnym. Nowoczesny, bo wyznaczający pewne kierunki działania, ale nie narzucający żadnych gotowych rozwiązań w postaci np. cotygodniowej zmiany hasła. Innowacyjny, bo przerzucający na przedsiębiorcę obowiązek dostosowania kwestii ochrony danych osobowych do zdiagnozowanego przez siebie ryzyka w tym zakresie. W końcu doniosły prawnie, ponieważ obowiązuje każdego przedsiębiorcę, pod sankcją kar finansowych.

O RODO można by pisać wiele, szczególnie po przeszło dwóch latach od jego wejścia w życie. Nie taka jednak jest intencja tego artykułu. W tym momencie chcieliśmy bowiem przedstawić Państwu zakres usług Fundacji – baza wiedzy dostępna jest natomiast w tej sekcji: artykuły o RODO.

Wdrożenie RODO oferta

Fundacja ENTROPIA powstała w 2014 roku i od samego początku zajmuje się problematyką ochrony danych osobowych. Od 2016 roku zaczęła analizować RODO i prowadzić pierwsze prace mające na celu wdrożenie go u rodzimych przedsiębiorców.

W oparciu o lata doświadczeń wypracowane zostały trzy zasadnicze modele współpracy.

Przygotowanie dedykowanych dokumentów RODO

Nie jesteśmy zwolennikami szablonów, gdyż one się zwyczajnie nie sprawdzają. Dlatego w gronie prawników – specjalistów z zakresu ochrony danych osobowych stworzyliśmy ankietę audytową, która pozwala nam dokładnie poznać przedsiębiorstwo Klienta i na tej podstawie przygotować dokumenty skrojone pod konkretną działalność.

Pełen zakres informacji znaleźć mogą Państwo pod tym linkiem: dedykowane dokumenty RODO.

Objęcie funkcji Inspektora Ochrony Danych

Niektórzy przedsiębiorcy powinni (a część z nich ma taki prawny obowiązek) wyznaczyć w swojej firmie Inspektora Ochrony Danych, czyli podmiot, który odpowiedzialny będzie za odpowiednie wdrożenie RODO i utrzymywanie wysokiego poziomu ochrony danych w firmie. Z powodzeniem pełnimy takie funkcje w dużych podmiotach gospodarczych.

Pełen zakres informacji znaleźć mogą Państwo pod tym linkiem: przejęcie funkcji IOD.

Szkolenia

Fundacja, jako podmiot wyspecjalizowany w ochronie danych osobowych, realizuje szkolenia dla przedsiębiorców z zakresu RODO. Szkolimy zarówno przedsiębiorców, jak i ich pracowników, w tym inspektorów ochrony danych.

Pełen zakres informacji znaleźć mogą Państwo pod tym linkiem: szkolenia.

***

Nasi specjaliści gotowi są na udzielenie wszelkich informacji dotyczących poruszanych kwestii. W tym celu zapraszamy do skorzystania z formularza kontaktowego i opisania swoich potrzeb:

Wdrożenie RODO oferta Fundacji obejmuje kompleksową obsługę z zakresu ochrony danych osobowych.

Artykuł Wdrożenie RODO oferta, usługi RODO pochodzi z serwisu .

W nawiązaniu do postawionego przez Czytelnika naszego bloga pytania w dniu dzisiejszym pochylimy się nad uprawnieniem administratora do inspekcji podmiotu przetwarzającego.

Niniejszy artykuł stanowi rozwinięcie i uszczegółowienie tematu dotyczącego relacji pomiędzy tymi dwoma podmiotami, wytworzonymi na podstawie łączącej ich umowy powierzenia, o której pisaliśmy już wcześniej.

Prawo do inspekcji podmiotu przetwarzającego

Punktem wyjścia dla naszych rozważań jest treść art. 28. ust. 1 RODO, który nakłada na administratora obowiązek korzystania przy powierzaniu danych wyłącznie z takich podmiotów, które gwarantują wdrożenie odpowiednich środków mających zapewnić zgodność przetwarzania danych z wymogami RODO.

Nowe, zdecydowanie bardziej rygorystyczne, podejście do tematu powierzenia danych osobowych wymaga od administratora, aby decyzja o wyborze kontrahenta była przemyślana i oparta na konkretnych przesłankach. No dobrze, ale jakich?

Tutaj z pomocą przychodzi europejski legislator, który wyposaża administratora w odpowiednie narzędzia. Jak wynika z dalszej lektury wspomnianego art. 28 administratorowi przysługuje po pierwsze: – prawo do uzyskania od podmiotu przetwarzającego wszelkich informacji niezbędnych do ustalenia czy daje on rękojmię przetwarzania danych zgodnie z przepisami RODO, i po drugie: – prawo do audytowania (inspekcji) podmiotu przetwarzającego dane w jego imieniu.

Metody weryfikacji

Nie znajdziemy w Rozporządzeniu przepisu, na podstawie którego administrator mógłby wprost wykazać spełnienie wymogu określonego w art. 28 ust. 1 RODO. Zadaniem administratora jest zatem zaplanowanie działań, które pozwolą na jak najdokładniejszą weryfikację procesora. A najlepiej takich, które w przypadku ewentualnej kontroli ze strony organu nadzorczego uprawdopodobnią, że administrator dokonał wyboru podmiotu przetwarzającego gwarantującego odpowiedni poziom bezpieczeństwa danych osobowych.

Mając na uwadze przyznane administratorowi kompetencje wyróżniamy dwie metody weryfikacji podmiotu przetwarzającego:

1. audyt bezpośredni (realizowany w siedzibie procesora),
2. lista kontrolna (realizowana drogą elektroniczną lub listownie)

W przypadku audytu podmiotu przetwarzającego, przywołanym dowodem może być raport z przeprowadzonych czynności audytowych.
Natomiast w przypadku weryfikacji podmiotu na odległość należy zadbać, aby treść dokumentu stanowiącego dowód z przeprowadzonej weryfikacji (lista kontrolna) była wystarczająco precyzyjna i pozwalała administratorowi na uzyskanie szczegółowych informacji na temat przetwarzania danych osobowych przez procesora. W związku z tym rekomendujemy, aby lista kontrolna zawierała miejsce, w którym podmiot przetwarzający ustosunkuje się do zawartych w dokumencie pytań administratora oraz dokona samooceny według ustalonych kryteriów przyjętych w procedurze weryfikacji podmiotu przetwarzającego (np. zgodność/częściowa zgodność/niezgodność).

Procedura weryfikacji podmiotu przetwarzającego winna również precyzować progi w ramach których administrator dopuszcza współpracę z weryfikowanym podmiotem przetwarzającym, np.:

• spełnienie przyjętych kryteriów na poziomie powyżej 75% – wniosek: podmiot daje gwarancje wdrożenia odpowiednich środków zapewniających zgodność przetwarzania danych z wymogami RODO;
• spełnienie przyjętych kryteriów na poziomie od 51 % do 74% – podmiot przetwarzający powinien wprowadzić stosowane zmiany według wskazań administratora;
• spełnienie przyjętych kryteriów na poziomie poniżej 50 % – podmiot przetwarzający nie daje wystarczającej rękojmi wdrożenia odpowiednich środków zapewniających zgodność przetwarzania danych z wymogami RODO.

Przykładowa lista kontrolna

Poniżej prezentujemy listę z przykładowymi pytaniami, jakie powinna zawierać lista kontrolna:

1. Czy zarządzający podmiotem przetwarzającym powołał Inspektora Ochrony Danych Osobowych lub wyznaczył pracownika do pełnienia zadań związanych z ochroną danych osobowych?
2. Czy osoby biorące udział przy przetwarzaniu danych osobowych posiadają stosowne upoważnienia i zostały zobowiązane do zachowania tych danych tajemnicy?
3. Czy podmiot przetwarzający wdrożył procedury, umożliwiające skuteczne zgłoszenie naruszenia bezpieczeństwa danych osobowych?
4. Czy podmiot przetwarzający stosuje fizyczne zabezpieczenia pomieszczeń/obszarów przetwarzania danych osobowych przed dostępem osób nieuprawnionych?
5. Czy podmiot przetwarzający sporządził kompletną dokumentacje ochrony danych osobowych, a w szczególności czy prowadzi prowadzi rejestr kategorii czynności przetwarzania?
6. Czy podmiot przetwarzający korzysta lub zamierza korzystać z usług podwykonawców ?

Co w przypadku podwykonawców procesora?

Co oczywiste dalsze przekazywanie danych zwiększa ryzyko ich utraty. Do obiegu wchodzi bowiem kolejny podmiot, następuje kolejne powierzenie. Tym samym w przypadku korzystania z usług podwykonawców zwiększa się ryzyko wystąpienia nieprawidłowości w łańcuchu powierzenia danych, który ulega wydłużeniu. Dlatego w praktyce popularnym stało się regulowanie w ramach umowy powierzenia uprawnienia po stronie administratora do przeprowadzenia audytu również u podprocesorów.

Ze swojej strony rekomendujemy aby co najmniej zorientować się, czy umowy podpisywane z podwykonawcami regulują kwestie związane z przetwarzaniem danych administratora.

Powinniśmy być przede wszystkim świadomi, gdzie procesor przekazuje udostępnione mu przez nas dane.

Wynagrodzenie za audyt?

Wróćmy teraz do prawa audytu u procesora i odpowiedzi na postawione przez naszego czytelnika pytanie dotyczące wynagrodzenia. Czy za umożliwienie przeprowadzenia audytu można domagać się wynagrodzenia? W naszej ocenie wprowadzenie do umowy powierzenia żądania stosownej kwoty tytułem opłaty za sam fakt przeprowadzenia sprawdzenia jest uznać należy za niezgodne z RODO. Jak się wydaje takie wynagrodzenie miałoby bowiem na celu nic innego jak „zniechęcenie” administratora do skorzystania z jego uprawnień w zakresie audytowania podmiotu przetwarzającego. Dopuszczamy jednak możliwość ubiegania się o zwrot kosztów poniesionych przez procesora w związku z przeprowadzanym audytem (np. za udział pracowników procesora w czynnościach audytowych).

Termin weryfikacji podmiotu przetwarzającego

Niestety przepisy RODO nie precyzują terminu, w którym administrator ma przeprowadzić weryfikację podmiotu przetwarzającego. Dlatego zdroworozsądkowo przyjąć należy, że sprawdzenie procesora powinno nastąpić w pierwszej kolejności. Czyli przed podpisaniem umowy powierzenia oraz faktycznym przekazaniem danych przez administratora (tzw. audyt otwarcia). Tylko taki audyt da nam pewność, że dane przekazujemy odpowiedzialnemu podmiotowi.

Nic nie stoi jednak na przeszkodzie aby weryfikacji podmiotu przetwarzającego dokonać w czasie realizacji umowy powierzenia. Wręcz przeciwnie – jest to wskazane. Administrator powinien bowiem zawsze posiadać aktualne informacje na temat środków bezpieczeństwa wykorzystywanych przy przetwarzaniu danych osobowych, którego w jego imieniu dokonuje podmiot zewnętrzny. Tylko takie działanie należy uznać za zapewniające spełnienie przez administratora obowiązku wynikającego z art. 28 ust. 1 RODO.

Outsourcing weryfikacji procesora

Na zakończenie należy zwrócić uwagę, że istotnym elementem uprawnienia do audytowania podmiotu przetwarzającego jest to, że nie musi być ono wykonane bezpośrednio przez samego administratora lub jego pracownika. W przypadku, w którym administrator nie czuje się na siłach w aspekcie sprawdzenia podmiotu przetwarzającego lub nie dysponuje wystarczającymi zasobami kadrowymi oraz czasowymi do podjęcia takich działań, może skorzystać z usług wyspecjalizowanego podmiotu zewnętrznego. Z art. 28 ust. 3 lit. h RODO wprost bowiem wynika, że podmiot przetwarzający ma umożliwić audyt administratorowi lub audytorowi upoważnionemu przez administratora.

Podmioty zainteresowane przeprowadzeniem przez nasz Zespół weryfikacji pomiotu przetwarzającego zapraszamy do kontaktu za pośrednictwem poniższego formularza.

[contact-form-7]

Artykuł Czy administrator może kontrolować podmiot przetwarzający? pochodzi z serwisu .