Jak zweryfikować podmiot przetwarzający według RODO?

Wszystkie czynności audytowe należy skrupularnie dokumentować
Wszystkie czynności audytowe należy skrupularnie dokumentować

Przekazujesz dane do chmury? Jako administrator danych musisz sprawdzić, komu powierzasz dane osobowe oraz w jaki sposób będą one przetwarzane. Podpowiadamy, jak spełnić wymagania RODO.

Jednym z elementów, o którym administrator nie może zapomnieć, jest weryfikacja podmiotu przetwarzającego w zakresie stosowanych przez ten podmiot środków mających zapewnić zgodność przetwarzania danych z wymogami RODO. Należy wyraźnie zaznaczyć, że administrator danych osobowych powinien dokonywać przedmiotowej weryfikacji przed zawarciem umowy powierzenia jak również w trakcie jej trwania.

Weryfikacja przed nawiązaniem współpracy

Przed zawarciem umowy administrator danych osobowych musi dokonać weryfikacji czy potencjalny podmiot przetwarzający daje gwarancje bezpiecznego przetwarzania danych osobowych i realizacji innych obowiązków wynikających z RODO. Jeżeli taka weryfikacja wykaże brak zdolności procesora do świadczenia usług zgodnie z RODO, administrator nie powinien korzystać z jego usług. Należy pamiętać, że rozpoczęcie współpracy z podmiotem przetwarzającym, który nie zapewnia odpowiednich gwarancji, jest naruszeniem obowiązków administratora.

POBIERZ: Wytyczne dotyczące pojęć administratora i podmiotu przetwarzającego zawartych

Poradnik European Data Protection Board
Poradnik European Data Protection Board

Co administrator danych osobowych powinien zweryfikować decydując się na powierzenie danych?

Przepisy RODO w art. 28 ust. 1 RODO oraz w motywie 81 Preambuły określają, iż przetwarzanie danych osobowych przez podmiot przetwarzający powinno spełniać wymogi rozporządzenia, w tym powinno chronić prawa podmiotów danych oraz spełniać wymogi bezpieczeństwa.

Dlatego też administrator danych osobowych musi zweryfikować działalność procesora w taki sposób, aby móc ocenić, czy przetwarzanie przez niego danych nie doprowadzi do naruszenia ochrony danych osobowych, naruszenia umowy lub przepisów RODO.

Zgodnie z motywem 81 Preambuły RODO, podmiot przetwarzający musi dawać odpowiednie gwarancje w zakresie:

  • posiadanej wiedzy (kompetencje, doświadczenie),
  • wiarygodności (np. certyfikacje ISO, wdrożone kodeksy postępowania),
  • zasobów (zdolność do ciągłego zapewnienia poufności, integralności, dostępności systemów i usług przetwarzania).

Na tej podstawie administrator może ocenić gwarancje procesora w zakresie wdrożenia środków technicznych i organizacyjnych zapewniających właściwe stosowanie przepisów RODO.

Jeżeli podmiot przetwarzający stosuje zatwierdzony kodeks postępowania lub zatwierdzony mechanizm certyfikacji, dodatkowa weryfikacja nie jest wymagana. W takim przypadku przyjmuje się, iż spełnia on wymogi, o których mowa w art. 28 ust. 1 RODO.

Weryfikacja procesora po zawarciu umowy

Obowiązek zapewniania przez podmiot przetwarzający zgodności przetwarzania danych z wymogami RODO trwa przez cały okres obowiązywania umowy powierzenia. Administrator jest zobowiązany tę zgodność weryfikować – weryfikacja dokonana przed zawarciem umowy po pewnym czasie może przestać być aktualna z uwagi na zmiany w obowiązujących przepisach prawa, zmieniającym się kontekście organizacji lub w związku z pojawieniem się nowych zagrożeń.

Dlatego też każdy administrator musi podjąć decyzję, z jaką częstotliwością będzie przeprowadzał weryfikację podmiotu przetwarzającego, o ile nie wystąpią okoliczności uzasadniające przeprowadzenie jej przed upływem założonego okresu.

Możliwe sposoby weryfikacji

Przepisy RODO nie określają, w jaki sposób administrator powinien dokonać weryfikacji zapewnienia przez procesora gwarancji przetwarzania danych zgodnie z przepisami. Zadaniem administratora jest zatem podejmowanie takich działań, które pozwolą na jak najdokładniejszą weryfikację podmiotu przetwarzającego.

Stosowanymi przez administratorów rozwiązaniami są m.in. listy kontrole zawierające szereg pytań dotyczących sposobów przetwarzania danych osobowych przez procesora, a także audyty procesora. W przypadku audytu procesora należy pamiętać o zebraniu odpowiednich dowodów przeprowadzonej weryfikacji, np. raportu z przeprowadzonych czynności audytowych.

Można zatem wyciągnąć wniosek, że to nie forma przeprowadzania audytu jest najistotniejsza, lecz fakt zebrania wystarczających dowodów na to, że podmiot przetwarzający zapewnia zgodność przetwarzania danych z wymogami RODO. Dokument stanowiący dowód z przeprowadzonej weryfikacji powinien być na tyle precyzyjny, aby pozwalał administratorowi na uzyskanie szczegółowych informacji w zakresie stosowanych przez podmiot przetwarzający środków technicznych i organizacyjnych, które zapewnić mają zgodność z przepisami RODO oraz bezpieczeństwo danych osobowych przetwarzanych w imieniu administratora.

Czytaj także: RODO – 10 000 zł kary dla CSK WUM. Za co dokładnie?