Dziś mało kiedy można spotkać firmę, która nie korzysta z innych podmiotów w celu wykonania własnych celów (zadań). Powierzanie danych to rzecz powszednia, w związku z czym w RODO powstały odpowiednie zapisy narzucające na Administratora oraz Procesora odpowiednie obowiązki dotyczącego tego procesu (Więcej o samym procesie powierzenia tutaj: https://www.rodo.pl/post/powierzanie-danych-1).
Musimy pamiętać, że powierzając dane do zewnętrznego podmiotu zawsze jesteśmy odpowiedzialni za wybranie właściwego kontrahenta, który zapewni nam odpowiednie gwarancje w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających zgodność przetwarzania danych z przepisami RODO.
Obowiązek wybrania właściwego procesora spoczywa na Administratorze Danych, a decyzja w tym zakresie powinna być zawsze podejmowana przy uwzględnieniu odpowiednich gwarancji.
Artykuł 28 ust. 1 RODO
Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
W jaki sposób wykazać więc przed Urzędem, wywiązanie się z obowiązków narzuconych w artykule 28 RODO, wykazując odpowiednie gwarancję oraz rozliczalność ?
Zgodnie z zapisami art. 28 ust. 3 lit. h RODO:
udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
Jednym ze sposobów może być więc przeprowadzenie audytu u podmiotu przetwarzającego, a samym dowodem może być raport z przeprowadzonych czynności.
Niektórzy " tzw. duzi gracze" na nasz wniosek udostępniają nawet taki wewnętrzny audyt.
Jeśli chodzi o audytu to ciężko jednak wyobrazić sobie sprawdzające się corocznie pod względem RODO podmioty, w sytuacji kiedy duży procent firm, wciąż traktuje samo Rozporządzenie jako wydrukowaną, schowaną w segregator i czasami nawet nie podpisaną w roku 2018 politykę.
Jak więc podchodzi do sytuacji rynek ?
Najczęściej stosowanym sposobem zapewnienia gwarancji jest przed podpisaniem umowy powierzenia - weryfikacja podmiotu, poprzez wysłanie mu ankiety, która pozwoli nam uznać, że wdrożył lub nie wdrożył on odpowiednich środków technicznych i organizacyjnych zapewniających prawidłowe przetwarzanie powierzonych mu danych.
Ankieta pozwala zweryfikować podmiot, a samo potwierdzenie realizacji obowiązków z RODO należy zawrzeć w odpowiednio skonstruowanej umowie powierzenia danych.
Należy jednocześnie pamiętać, że informacje w ankietach należy aktualizować.
Jednorazowe przesłanie ich przed podpisaniem umowy, Prezes UODO może uznać za niewystarczające, gdyż RODO wyraźnie wskazuje na regularność testowania, mierzenia i oceniania stosowanych zabezpieczeń, a w związku z powierzeniem danych, taka czynność wykonywana powinna być również wobec procesora, który realizuje nasze cele w zakresie przetwarzania danych.
Aby ułatwić Państwu weryfikację, zamieszczamy listę kontrolną, którą można wykorzystać w celu weryfikacji podmiotu przetwarzającego.
Pozdrawiamy,
Zespół rodo.pl