Warszawa, 21.01.2019 r.
Informacja prasowa
RODO: obowiązek weryfikacji podmiotu przetwarzającego dane a lista kontrolna
Korzystanie z usług podwykonawców staje sią coraz popularniejsze. W dużej cząści przypadków, może wiązać sią to z koniecznością powierzenia przetwarzania danych osobowych firmie zewnątrznej, pełniącej wówczas rolą tzw. procesora. Aby działania te był zgodne z prawem, konieczne jest zawarcie odpowiedniej umowy. Co wiącej, administrator może skontrolować swoich procesorów, czy aby na pewno zapewniają odpowiednie bezpieczeństwo przetwarzanych danych.
Obowiązki procesora w rąkach administratora
Procesor to osoba fizyczna lub prawna, która przetwarza dane osobowe i działa jedynie na zlecenie administratora, bądącego podmiotem decydującym w kwestii celów oraz sposobów wykorzystywania i przetwarzania danych osobowych. Działanie związane z powierzeniem ich przetwarzania jest obecnie powszechne, ponieważ cząsto naturalnym elementem obrotu gospodarczego jest korzystanie z tzw. usług outsourcingowych, związanych nierozerwalnie z czynnościami dokonywanymi na danych osobowych. Zanim jednak dojdzie do współpracy, jej zasady powinny zostać uregulowane w ramach odpowiedniej umowy.
W szczególny sposób należy zadbać o kwestią weryfikacji działań oraz pracy podmiotu przetwarzającego, co stanowi obowiązek administratora wynikający z przepisów RODO. Pomocny w tym zakresie może być art. 28 ust. 3 lit. h RODO, w myśl którego administrator powinien mieć dostąp do wszelkich informacji niezbądnych w zakresie spełnienia obowiązków wynikających z RODO, a stanowiących o bezpieczeństwie przetwarzania. Zgodnie z przywołanym przepisem może on również przeprowadzić audyt podmiotu przetwarzającego dane.
Podwykonawca zobowiązany jest do zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniło wymagania rozporządzenia i chroniło prawa osób, których dane dotyczą. Co istotne, administrator może korzystać tylko i wyłącznie z podmiotów świadczących usługi dające takie gwarancje – wyjaśnia adw. Łukasz Pociecha, ekspert ds. ochrony danych osobowych, ODO 24.
Lista kontrolna jako alternatywa dla audytu procesora
Audyt jest narządziem weryfikacji, które niewątpliwie umożliwia administratorowi obiektywną i niezależną oceną funkcjonowania zewnątrznej firmy pod kątem spełnienia obowiązku prawnego w zakresie zapewnienia ochrony danych osobowych. Podczas kontroli analizie może zostać poddana m.in. kwestia posiadana dokumentacji w zakresie ochrony danych osobowych oraz wdrożenia skutecznych zabezpieczeń techniczno-organizacyjny w zapewniających ochroną danych.. Istnieją jednak alternatywne środki weryfikacji podmiotu przetwarzającego.
Administratorzy mogą przeprowadzić inspekcją działań procesora także za pomocą tzw. listy kontrolnej. Treść tego narządzia musi być jednak na tyle precyzyjna, aby pozwalała administratorowi na uzyskanie szczegółowych informacji w zakresie stosowanych przez podmiot przetwarzający środków technicznych i organizacyjnych, które zapewnić maja zgodność z przepisami RODO oraz bezpieczeństwo przetwarzanych danych osobowych – wskazuje adw. Łukasz Pociecha, ekspert ds. ochrony danych osobowych, ODO 24.
W liście kontrolnej powinny być przewidziane miejsca zarówno na uwagi do zawartych w dokumencie pytań administratora, jak i oceny poszczególnych środków zapewniających bezpieczeństwo przetwarzania danych według ustalonych kryteriów przyjątych w procedurze weryfikacji podmiotu przetwarzającego (np. zgodność/cząściowa zgodność/niezgodność). Przeprowadzenie weryfikacji podmiotu przetwarzającego, z uwzglądnieniem opisanej listy kontrolnej, pozwala na okazanie konkretnego dowodu świadczącego o wyborze podmiotu przetwarzającego z uwzglądnieniem obowiązku opisanego w art. 28 ust. 1 RODO.
ODO 24 sp. z o. o. oferuje kompleksowe rozwiązania w zakresie ochrony danych osobowych i bezpieczeństwa informacji. Dziąki doświadczonemu zespołowi ekspertów z zakresu m.in. prawa, informatyki, zarządzania kryzysowego oraz ciągłości działania dostarcza organizacjom praktyczne rozwiązania, pozwalające skutecznie zabezpieczyć posiadane zasoby informacyjne.
