Dlaczego tak ważne jest stosowanie weryfikacji podmiotu przetwarzającego?

Dlaczego tak ważne jest stosowanie weryfikacji podmiotu przetwarzającego?

Istota powierzenia

Powierzenie przetwarzania danych to nic innego jak korzystanie z usług zewnętrznego podmiotu (osoby fizycznej lub prawnej, organu publicznego, jednostki lub innego podmiotu) przy przetwarzaniu danych osobowych, przy czym to Administrator określa cele i sposoby przetwarzania danych. Co istotne, do powierzenia przetwarzania dochodzi w sytuacjach, w których to podmiot przetwarzający przetwarza dane niezależnie (np. na własnym sprzęcie, we własnym biurze, itp.). W przypadku korzystania z infrastruktury Administratora wystarczające będzie wydanie upoważnienia do przetwarzania danych osobowych.

Wybór odpowiedniego podmiotu

Zapewnienie odpowiedniego bezpieczeństwa przetwarzania jest ważnym elementem w procesie ochrony danych osobowych. Wybór odpowiedniego podmiotu przetwarzającego jest jednym z technicznych środków zapewnienia bezpieczeństwa, bowiem to on będzie przetwarzał dane osobowe, które zostaną mu powierzone, w imieniu Administratora. 

Zgodnie z zasadami określonymi w art. 5 RODO, a zwłaszcza zasadą „rozliczalności” to na administratorze ciąży odpowiedzialność za przetwarzanie danych zgodnie z zasadami i wykazanie ich przestrzegania. Przepisy RODO w art. 28 określają warunki powierzenia przetwarzania danych, do których zaliczamy:

  • korzystanie z usług takich podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą;
  • w sytuacji, gdy podmiot przetwarzający chcąc skorzystać z usług innego podmiotu (podprzetwarzającego) zobowiązany jest do uzyskania zgody administratora w zakresie dalszego przetwarzania;
  • udokumentowanie powierzenia przetwarzania (umową lub innym instrumentem prawnym np. standardowe klauzule umowne) w formie pisemnej, w tym elektronicznej.

Co jeszcze należy wziąć pod uwagę wybierając podmiot przetwarzający?

  • Wiedzę fachową (kompetencje, doświadczenie w danej dziedzinie);
  • Wiarygodność (certyfikaty ISO, stosowanie kodeksów postępowania);
  • Zasoby (infrastruktura, sprzęt, systemy)

Umowa

Umowa powierzenia przetwarzania jest swego rodzaju zabezpieczeniem interesów Administratora. Aby wywiązać się ze wszystkich obowiązków nałożonych przez ustawodawcę, umowa powinna określać co najmniej:

  • przedmiot i czas trwania przetwarzania,
  • charakter i cel przetwarzania,
  • rodzaj danych osobowych,
  • kategorie osób, których dane dotyczą,
  • zobowiązanie do zachowania danych w tajemnicy,
  • obowiązki i prawa administratora,
  • obowiązki podmiotu przetwarzającego,
  • sposób postępowania z danymi po zakończeniu umowy.

Wszystkie te aspekty mają na celu uniemożliwienie wystąpienia negatywnych konsekwencji dla osób fizycznych, których dane powierzyliśmy do przetwarzania.

Prawo kontroli

Administrator zobowiązany jest zarówno przed wyborem podmiotu przetwarzającego jak i w trakcie trwania umowy, do weryfikacji kompetencji procesora i spełniania przez niego wymogów z RODO. Dokładnie wskazuje to art. 28 ust. 3 lit. h RODO, który nakłada na podmiot przetwarzający obowiązek udostępnienia wszelkich informacji niezbędnych do wykazania spełnienia obowiązków nałożonych na niego oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie sprawdzeń w tym zakresie.

Również wytyczne Europejskiej Rady Ochrony Danych (EROD) wskazują, że obowiązek korzystania wyłącznie z usług podmiotów przetwarzających „zapewniających wystarczające gwarancje” zawarty w art. 28 ust. 1 RODO jest obowiązkiem ciągłym. Nie kończy się w momencie zawarcia umowy lub innego aktu prawnego przez administratora i podmiot przetwarzający. Administrator powinien raczej w odpowiednich odstępach czasu weryfikować gwarancje podmiotu przetwarzającego, w tym w stosownych przypadkach przez audyty i inspekcje.(1)

Jak i co sprawdzać?

Przeprowadzenie sprawdzenia podmiotu przetwarzającego podczas trwania umowy może przybrać formę wizyty osobistej lub zdalnej, wypełnienia ankiety weryfikacyjnej lub udzielenia odpowiedzi na konkretne pytania związane z przetwarzaniem. RODO nie narzuca konkretnych rozwiązań w tym zakresie lecz nakłada obowiązek przeprowadzania takich sprawdzeń.

Zakres kontroli powinien obejmować przede wszystkim wykonywanie obowiązków wynikających z umowy m.in. właściwe zabezpieczenie powierzonych danych czy stosowanie zabezpieczeń technicznych (alarm, monitoring, itp.) i organizacyjnych (np. wdrożenie i stosowanie Polityki ochrony danych, prowadzenie rejestrów, itp.). Powinien również odnosić się do aktualnych zagrożeń, które potencjalnie mogą nastąpić.

Warto określić zasady wykonywania takich kontroli, które określą:

  • częstotliwość wykonywania sprawdzeń,
  • narzędzia i sposoby wykonywania sprawdzeń,
  • niezbędną dokumentację.

Odpowiedzialność

Z punktu widzenia Administratora danych, współpraca z podmiotem przetwarzającym pomijając nałożone na niego obowiązki stanowi naruszenie przepisów, co prowadzić może do naruszenia praw i wolności podmiotów danych oraz nałożenia administracyjnej kary pieniężnej przez Prezesa Urzędu Ochrony Danych Osobowych.

Podmiot przetwarzający również ponosi odpowiedzialność za nieprzestrzeganie nałożonych na niego obowiązków wynikających z umowy, co skutkować może tak samo jak w przypadku Administratora naruszeniem praw i wolności podmiotów danych oraz nałożeniem administracyjnej kary pieniężnej przez Prezesa Urzędu Ochrony Danych Osobowych.

Przykładem „podwójnej” odpowiedzialności za naruszenie poufności danych oraz braku weryfikacji podmiotu przetwarzającego jest Decyzja Prezesa UODO (DKN.5130.2215.2020) w sprawie Fortum Marketing and Sales Polska S.A., w której administracyjna kara pieniężna została nałożona zarówno na Administratora jak i na Podmiot przetwarzający.

Dlatego tak istotna jest weryfikacja dokumentacji związane z przetwarzaniem danych osobowych oraz przeprowadzanie cyklicznych audytów. Co obejmuje taki audyt? Sprawdź  Audyt Ochrony Danych Osobowych.

Źródła:

https://uodo.gov.pl/pl/138/2684

https://inspektorzyodo.pl/podmiot-przetwarzajacy-jak-go-prawidlowo-wybrac/

https://maruta.pl/dlaczego-i-jak-weryfikowac-podmioty-przetwarzajace/

https://uodo.gov.pl/pl/138/2485

1)  Wytyczne 07/2020 dotyczące pojęć administratora i podmiotu przetwarzającego zawartych w RODO, str. 35.

Autor: Marcelina Goryńska   Kierownik Projektu w CompNet Sp. z o.o.