W nawiązaniu do postawionego przez Czytelnika naszego bloga pytania w dniu dzisiejszym pochylimy się nad uprawnieniem administratora do inspekcji podmiotu przetwarzającego.

Niniejszy artykuł stanowi rozwinięcie i uszczegółowienie tematu dotyczącego relacji pomiędzy tymi dwoma podmiotami, wytworzonymi na podstawie łączącej ich umowy powierzenia, o której pisaliśmy już wcześniej.

Prawo do inspekcji podmiotu przetwarzającego

Punktem wyjścia dla naszych rozważań jest treść art. 28. ust. 1 RODO, który nakłada na administratora obowiązek korzystania przy powierzaniu danych wyłącznie z takich podmiotów, które gwarantują wdrożenie odpowiednich środków mających zapewnić zgodność przetwarzania danych z wymogami RODO.

Nowe, zdecydowanie bardziej rygorystyczne, podejście do tematu powierzenia danych osobowych wymaga od administratora, aby decyzja o wyborze kontrahenta była przemyślana i oparta na konkretnych przesłankach. No dobrze, ale jakich?

Tutaj z pomocą przychodzi europejski legislator, który wyposaża administratora w odpowiednie narzędzia. Jak wynika z dalszej lektury wspomnianego art. 28 administratorowi przysługuje po pierwsze: – prawo do uzyskania od podmiotu przetwarzającego wszelkich informacji niezbędnych do ustalenia czy daje on rękojmię przetwarzania danych zgodnie z przepisami RODO, i po drugie: – prawo do audytowania (inspekcji) podmiotu przetwarzającego dane w jego imieniu.

Metody weryfikacji

Nie znajdziemy w Rozporządzeniu przepisu, na podstawie którego administrator mógłby wprost wykazać spełnienie wymogu określonego w art. 28 ust. 1 RODO. Zadaniem administratora jest zatem zaplanowanie działań, które pozwolą na jak najdokładniejszą weryfikację procesora. A najlepiej takich, które w przypadku ewentualnej kontroli ze strony organu nadzorczego uprawdopodobnią, że administrator dokonał wyboru podmiotu przetwarzającego gwarantującego odpowiedni poziom bezpieczeństwa danych osobowych.

Mając na uwadze przyznane administratorowi kompetencje wyróżniamy dwie metody weryfikacji podmiotu przetwarzającego:

1. audyt bezpośredni (realizowany w siedzibie procesora),
2. lista kontrolna (realizowana drogą elektroniczną lub listownie)

W przypadku audytu podmiotu przetwarzającego, przywołanym dowodem może być raport z przeprowadzonych czynności audytowych.
Natomiast w przypadku weryfikacji podmiotu na odległość należy zadbać, aby treść dokumentu stanowiącego dowód z przeprowadzonej weryfikacji (lista kontrolna) była wystarczająco precyzyjna i pozwalała administratorowi na uzyskanie szczegółowych informacji na temat przetwarzania danych osobowych przez procesora. W związku z tym rekomendujemy, aby lista kontrolna zawierała miejsce, w którym podmiot przetwarzający ustosunkuje się do zawartych w dokumencie pytań administratora oraz dokona samooceny według ustalonych kryteriów przyjętych w procedurze weryfikacji podmiotu przetwarzającego (np. zgodność/częściowa zgodność/niezgodność).

Procedura weryfikacji podmiotu przetwarzającego winna również precyzować progi w ramach których administrator dopuszcza współpracę z weryfikowanym podmiotem przetwarzającym, np.:

• spełnienie przyjętych kryteriów na poziomie powyżej 75% – wniosek: podmiot daje gwarancje wdrożenia odpowiednich środków zapewniających zgodność przetwarzania danych z wymogami RODO;
• spełnienie przyjętych kryteriów na poziomie od 51 % do 74% – podmiot przetwarzający powinien wprowadzić stosowane zmiany według wskazań administratora;
• spełnienie przyjętych kryteriów na poziomie poniżej 50 % – podmiot przetwarzający nie daje wystarczającej rękojmi wdrożenia odpowiednich środków zapewniających zgodność przetwarzania danych z wymogami RODO.

Przykładowa lista kontrolna

Poniżej prezentujemy listę z przykładowymi pytaniami, jakie powinna zawierać lista kontrolna:

1. Czy zarządzający podmiotem przetwarzającym powołał Inspektora Ochrony Danych Osobowych lub wyznaczył pracownika do pełnienia zadań związanych z ochroną danych osobowych?
2. Czy osoby biorące udział przy przetwarzaniu danych osobowych posiadają stosowne upoważnienia i zostały zobowiązane do zachowania tych danych tajemnicy?
3. Czy podmiot przetwarzający wdrożył procedury, umożliwiające skuteczne zgłoszenie naruszenia bezpieczeństwa danych osobowych?
4. Czy podmiot przetwarzający stosuje fizyczne zabezpieczenia pomieszczeń/obszarów przetwarzania danych osobowych przed dostępem osób nieuprawnionych?
5. Czy podmiot przetwarzający sporządził kompletną dokumentacje ochrony danych osobowych, a w szczególności czy prowadzi prowadzi rejestr kategorii czynności przetwarzania?
6. Czy podmiot przetwarzający korzysta lub zamierza korzystać z usług podwykonawców ?

Co w przypadku podwykonawców procesora?

Co oczywiste dalsze przekazywanie danych zwiększa ryzyko ich utraty. Do obiegu wchodzi bowiem kolejny podmiot, następuje kolejne powierzenie. Tym samym w przypadku korzystania z usług podwykonawców zwiększa się ryzyko wystąpienia nieprawidłowości w łańcuchu powierzenia danych, który ulega wydłużeniu. Dlatego w praktyce popularnym stało się regulowanie w ramach umowy powierzenia uprawnienia po stronie administratora do przeprowadzenia audytu również u podprocesorów.

Ze swojej strony rekomendujemy aby co najmniej zorientować się, czy umowy podpisywane z podwykonawcami regulują kwestie związane z przetwarzaniem danych administratora.

Powinniśmy być przede wszystkim świadomi, gdzie procesor przekazuje udostępnione mu przez nas dane.

Wynagrodzenie za audyt?

Wróćmy teraz do prawa audytu u procesora i odpowiedzi na postawione przez naszego czytelnika pytanie dotyczące wynagrodzenia. Czy za umożliwienie przeprowadzenia audytu można domagać się wynagrodzenia? W naszej ocenie wprowadzenie do umowy powierzenia żądania stosownej kwoty tytułem opłaty za sam fakt przeprowadzenia sprawdzenia jest uznać należy za niezgodne z RODO. Jak się wydaje takie wynagrodzenie miałoby bowiem na celu nic innego jak „zniechęcenie” administratora do skorzystania z jego uprawnień w zakresie audytowania podmiotu przetwarzającego. Dopuszczamy jednak możliwość ubiegania się o zwrot kosztów poniesionych przez procesora w związku z przeprowadzanym audytem (np. za udział pracowników procesora w czynnościach audytowych).

Termin weryfikacji podmiotu przetwarzającego

Niestety przepisy RODO nie precyzują terminu, w którym administrator ma przeprowadzić weryfikację podmiotu przetwarzającego. Dlatego zdroworozsądkowo przyjąć należy, że sprawdzenie procesora powinno nastąpić w pierwszej kolejności. Czyli przed podpisaniem umowy powierzenia oraz faktycznym przekazaniem danych przez administratora (tzw. audyt otwarcia). Tylko taki audyt da nam pewność, że dane przekazujemy odpowiedzialnemu podmiotowi.

Nic nie stoi jednak na przeszkodzie aby weryfikacji podmiotu przetwarzającego dokonać w czasie realizacji umowy powierzenia. Wręcz przeciwnie – jest to wskazane. Administrator powinien bowiem zawsze posiadać aktualne informacje na temat środków bezpieczeństwa wykorzystywanych przy przetwarzaniu danych osobowych, którego w jego imieniu dokonuje podmiot zewnętrzny. Tylko takie działanie należy uznać za zapewniające spełnienie przez administratora obowiązku wynikającego z art. 28 ust. 1 RODO.

Outsourcing weryfikacji procesora

Na zakończenie należy zwrócić uwagę, że istotnym elementem uprawnienia do audytowania podmiotu przetwarzającego jest to, że nie musi być ono wykonane bezpośrednio przez samego administratora lub jego pracownika. W przypadku, w którym administrator nie czuje się na siłach w aspekcie sprawdzenia podmiotu przetwarzającego lub nie dysponuje wystarczającymi zasobami kadrowymi oraz czasowymi do podjęcia takich działań, może skorzystać z usług wyspecjalizowanego podmiotu zewnętrznego. Z art. 28 ust. 3 lit. h RODO wprost bowiem wynika, że podmiot przetwarzający ma umożliwić audyt administratorowi lub audytorowi upoważnionemu przez administratora.

Podmioty zainteresowane przeprowadzeniem przez nasz Zespół weryfikacji pomiotu przetwarzającego zapraszamy do kontaktu za pośrednictwem poniższego formularza.

Artykuł Czy administrator może kontrolować podmiot przetwarzający? pochodzi z serwisu .