Obowiązek weryfikacji podmiotu przetwarzającego dane a lista kontrolna, czyli ponownie o RODO

23-01-2019, 23:58

Korzystanie z usług podwykonawców staje się coraz popularniejsze. W dużej części przypadków, może wiązać się to z koniecznością powierzenia przetwarzania danych osobowych firmie zewnętrznej, pełniącej wówczas rolę tzw. procesora. Aby działania te były zgodne z prawem, konieczne jest zawarcie odpowiedniej umowy. Co więcej, administrator może kontrolować procesorów.

Procesor to osoba fizyczna lub prawna, która przetwarza dane osobowe i działa jedynie na zlecenie administratora, będącego podmiotem decydującym w kwestii celów oraz sposobów wykorzystywania i przetwarzania danych osobowych. Działanie związane z powierzeniem ich przetwarzania jest obecnie powszechne, ponieważ często naturalnym elementem obrotu gospodarczego jest korzystanie z tzw. usług outsourcingowych, związanych nierozerwalnie z czynnościami dokonywanymi na danych osobowych. Zanim jednak dojdzie do współpracy, jej zasady powinny zostać uregulowane w ramach odpowiedniej umowy.

W szczególny sposób należy zadbać o kwestię weryfikacji działań oraz pracy podmiotu przetwarzającego, co stanowi obowiązek administratora wynikający z przepisów RODO. Pomocny w tym zakresie może być art. 28 ust. 3 lit. h RODO, w myśl którego administrator powinien mieć dostęp do wszelkich informacji niezbędnych w zakresie spełnienia obowiązków wynikających z RODO, a stanowiących o bezpieczeństwie przetwarzania. Zgodnie z przywołanym przepisem może on również przeprowadzić audyt podmiotu przetwarzającego dane.

Adw. Łukasz Pociecha, ekspert ds. ochrony danych osobowych, ODO 24, wyjaśnia, iż podwykonawca zobowiązany jest do zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniło wymagania rozporządzenia i chroniło prawa osób, których dane dotyczą. Co istotne, administrator może korzystać tylko i wyłącznie z podmiotów świadczących usługi dające takie gwarancje.

Audyt jest narzędziem weryfikacji, które umożliwia administratorowi obiektywną i niezależną ocenę funkcjonowania zewnętrznej firmy pod kątem spełnienia obowiązku prawnego w zakresie zapewnienia ochrony danych osobowych. Podczas kontroli analizie może zostać poddana m.in. kwestia posiadana dokumentacji w zakresie ochrony danych osobowych oraz wdrożenia skutecznych zabezpieczeń techniczno-organizacyjny w zapewniających ochronę danych.. Istnieją jednak alternatywne środki weryfikacji podmiotu przetwarzającego.

Ekspert wskazuje, iż administratorzy mogą przeprowadzić inspekcję działań procesora także za pomocą tzw. listy kontrolnej. Treść tego narzędzia musi być jednak na tyle precyzyjna, aby pozwalała administratorowi na uzyskanie szczegółowych informacji w zakresie stosowanych przez podmiot przetwarzający środków technicznych i organizacyjnych, które zapewnić mają zgodność z przepisami RODO oraz bezpieczeństwo przetwarzanych danych osobowych.

W liście kontrolnej powinny być przewidziane miejsca zarówno na uwagi do zawartych w dokumencie pytań administratora, jak i oceny poszczególnych środków zapewniających bezpieczeństwo przetwarzania danych według ustalonych kryteriów przyjętych w procedurze weryfikacji podmiotu przetwarzającego (np. zgodność/częściowa zgodność/niezgodność). Przeprowadzenie weryfikacji podmiotu przetwarzającego, z uwzględnieniem opisanej listy kontrolnej, pozwala na okazanie konkretnego dowodu świadczącego o wyborze podmiotu przetwarzającego z uwzględnieniem obowiązku opisanego w art. 28 ust. 1 RODO.

Źródło: ODO24

 

Czytaj także: RODO puka do drzwi. Akredytowany kurs inspektora ochrony danych (IOD). Recenzja oraz sprawdź zapisy na najbliższe akredytowane kursy IOD >>


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie

RSS  
RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Grudzień 2019»
PoWtŚrCzwPtSbNd
 1
2345678
9101112131415
16171819202122
23242526272829
3031