• Krzysztof Dziemian

Weryfikacja podmiotu przetwarzającego

Dziś mało kiedy można spotkać firmę, która nie korzysta z innych podmiotów w celu wykonania własnych celów (zadań). Powierzanie danych to rzecz powszednia, w związku z czym w RODO powstały odpowiednie zapisy narzucające na Administratora oraz Procesora odpowiednie obowiązki dotyczącego tego procesu (Więcej o samym procesie powierzenia tutaj: https://www.rodo.pl/post/powierzanie-danych-1).


Musimy pamiętać, że powierzając dane do zewnętrznego podmiotu zawsze jesteśmy odpowiedzialni za wybranie właściwego kontrahenta, który zapewni nam odpowiednie gwarancje w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających zgodność przetwarzania danych z przepisami RODO.

Obowiązek wybrania właściwego procesora spoczywa na Administratorze Danych, a decyzja w tym zakresie powinna być zawsze podejmowana przy uwzględnieniu odpowiednich gwarancji.


Artykuł 28 ust. 1 RODO

Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

W jaki sposób wykazać więc przed Urzędem, wywiązanie się z obowiązków narzuconych w artykule 28 RODO, wykazując odpowiednie gwarancję oraz rozliczalność ?


Zgodnie z zapisami art. 28 ust. 3 lit. h RODO:

udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

Jednym ze sposobów może być więc przeprowadzenie audytu u podmiotu przetwarzającego, a samym dowodem może być raport z przeprowadzonych czynności.

Niektórzy " tzw. duzi gracze" na nasz wniosek udostępniają nawet taki wewnętrzny audyt.

Jeśli chodzi o audytu to ciężko jednak wyobrazić sobie sprawdzające się corocznie pod względem RODO podmioty, w sytuacji kiedy duży procent firm, wciąż traktuje samo Rozporządzenie jako wydrukowaną, schowaną w segregator i czasami nawet nie podpisaną w roku 2018 politykę.


Jak więc podchodzi do sytuacji rynek ?

Najczęściej stosowanym sposobem zapewnienia gwarancji jest przed podpisaniem umowy powierzenia - weryfikacja podmiotu, poprzez wysłanie mu ankiety, która pozwoli nam uznać, że wdrożył lub nie wdrożył on odpowiednich środków technicznych i organizacyjnych zapewniających prawidłowe przetwarzanie powierzonych mu danych.


Ankieta pozwala zweryfikować podmiot, a samo potwierdzenie realizacji obowiązków z RODO należy zawrzeć w odpowiednio skonstruowanej umowie powierzenia danych.


Należy jednocześnie pamiętać, że informacje w ankietach należy aktualizować.

Jednorazowe przesłanie ich przed podpisaniem umowy, Prezes UODO może uznać za niewystarczające, gdyż RODO wyraźnie wskazuje na regularność testowania, mierzenia i oceniania stosowanych zabezpieczeń, a w związku z powierzeniem danych, taka czynność wykonywana powinna być również wobec procesora, który realizuje nasze cele w zakresie przetwarzania danych.


Aby ułatwić Państwu weryfikację, zamieszczamy listę kontrolną, którą można wykorzystać w celu weryfikacji podmiotu przetwarzającego.

RODOPL_AnkietaProcesora
.pdf
Download PDF • 203KB

Pozdrawiamy,

Zespół rodo.pl


47 wyświetlenia

Ostatnie posty

Zobacz wszystkie