Jeśli Twój dział zajmuje się „dograniem” umów, których realizacja wiąże się z przetwarzaniem przez kontrahenta danych osobowych w imieniu Twojej firmy (np. danych klientów, pracowników, kandydatów do pracy), to konieczne jest zawarcie z tym podmiotem umowy powierzenia, która musi spełniać wymogi art. 28 RODO. Zawarcie umowy to jednak nie wszystko. Niezbędnym elementem jest uprzednia weryfikacja kontrahenta.
Dla przypomnienia:
Administrator danych osobowych – to podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych.
Podmiot przetwarzający (procesor) – to podmiot, któremu administrator powierza przetwarzanie danych osobowych. Procesor przetwarza dane w imieniu administratora, w jego celach.
Co powinni zatem wiedzieć pracownicy, by proces ten mógł odbyć się w zgodzie z przepisami ochrony danych?
Zanim umowa – konieczna jest weryfikacja przyszłego kontrahenta
RODO wymaga weryfikacji podmiotu, któremu chcemy powierzyć usługi związane z przetwarzaniem danych osobowych. Taki podmiot musi:
- zapewniać, że przetwarzanie przez niego danych będzie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą,
- musi dawać gwarancje wdrożenia w tym celu odpowiednich środków technicznych i organizacyjnych.
Deklaracja kontrahenta, że spełnia on te warunki – nie wystarczy. Przedłożone referencje czy fakt uprzedniej wieloletniej współpracy też nie załatwią sprawy. Potrzebna jest rzeczywista analiza czy zabezpieczenia stosowane przez procesora są adekwatne do istniejących zagrożeń, czy pozwalają na wywiązanie się obowiązków wynikających z faktu powierzenia.
W jaki zatem sposób można dokonać sprawdzenia kontrahenta?
Administrator musi ocenić czy procesor:
- posiada fachową wiedzę, pozwalającą na zapewnienie odpowiednich środków bezpieczeństwa,
- posiada odpowiednie zasoby do wypełnienia swoich obowiązków w zakresie bezpieczeństwa danych,
- jest wiarygodny.
Nie ma wyczerpującego katalogu działań służących weryfikacji kontrahenta – to zależy w dużej mierze od okoliczności przetwarzania. Wśród najpopularniejszych metod można jednak wskazać:
Ankieta bezpieczeństwa
Najczęstszym sposobem jest ankieta bezpieczeństwa wypełniana przez procesora, w której przedstawia on informacje dotyczące m.in. funkcjonowania u niego systemu ochrony danych, obowiązujących procedur, prowadzonej dokumentacji, świadomości pracowników, wykorzystywanych systemów, sposobów zabezpieczeń (technicznych, fizycznych, organizacyjnych), korzystania z dalszych podmiotów przetwarzających.
W zależności od charakteru usług świadczonych przez kontrahenta i zakresu powierzanych danych (a więc i wynikających stąd zagrożeń), szczegółowość ankiety będzie się różnić.
Analiza dokumentacji
Ocena kontrahenta może wymagać weryfikacji jego dokumentacji odnoszącej się do obszaru, w którym występuje on jako podmiot przetwarzający. W szczególności taka analiza może obejmować politykę ochrony danych i bezpieczeństwa informacji, procedury, warunki świadczenia usług, sprawozdania z zewnętrznych audytów ochrony danych, certyfikaty, np. zgodności z normami ISO.
Analiza deklarowanych środków technicznych i organizacyjnych
Mogą się zdarzyć sytuacje, w których wypełnienie przez kontrahenta ankiety okaże się niemożliwe. Takie sytuacje mogą wystąpić szczególnie w przypadku dużych dostawców, którzy „narzucają” swoje wzorce umów. Wówczas możliwa może być analiza deklarowanych przez ten podmiot środków np. wymienionych w dokumentacji umownej, przy akceptacji warunków czy też na stronie internetowej. Można też próbować uzyskać potrzebne informacje kontaktując się z inspektorem ochrony danych procesora, jeśli został powołany lub z odpowiednią komórką zajmującą się ochroną danych osobowych.
Niekiedy właściwa weryfikacja może wymagać dodatkowo bezpośrednich spotkań czy oględzin – wszystko zależne jest od okoliczności danej sprawy.
Administrator powinien dokonać oceny na podstawie zgromadzonych informacji. Co ważne - ocena kontrahenta powinna zostać udokumentowana.
Podsumowując, weryfikacja:
- musi być przeprowadzona,
- musi być skuteczna, a więc pozwolić odpowiedzieć na pytanie czy procesor w odniesieniu do powierzonego przetwarzania zastosuje takie środki organizacyjne i techniczne, które zagwarantują bezpieczeństwo danych i przestrzeganie praw osób, których dane dotyczą,
- musi być udokumentowana – jest to wymóg zasady rozliczalności, brak odpowiedniego udokumentowania skutkuje brakiem możliwości udowodnienia przed organem nadzorczym, że administrator wywiązał się ze swoich obowiązków.
Tylko pozytywna ocena w tym zakresie pozwala na powierzenie danych osobowych.
Weryfikacja kontrahenta powinna być powtarzana także w trakcie trwania współpracy. Ocena dawanych przez podmiot przetwarzający gwarancji jest procesem ciągłym.
Dlaczego to ważne?
Administrator, pomimo powierzenia danych osobowych, w dalszym ciągu ponosi za nie odpowiedzialność. Naruszenie ochrony danych u procesora rodzi także odpowiedzialność administratora.
Brak weryfikacji lub niewłaściwa weryfikacja kontrahenta, a także brak umowy powierzenia lub niewłaściwa jej treść stanowią naruszenie RODO i mogą skutkować karą finansową, utratą reputacji i zaufania klientów.