Zamknij
Zamknij
ODO 24 logo
EN
PL
Strona główna  •  Wiedza  •  Blog  •  Zgodność procesora z RODO sposoby jej weryfikacji

Zgodność procesora z RODO sposoby jej weryfikacji

30 listopada 2018, Compliance, Narzędzia

Uregulowanie relacji pomiędzy administratorem, a podmiotem przetwarzającym dane (popularnym procesorem) jest jedną z podstawowych czynności, które sam administrator musi uwzględnić w systemie ochrony danych w swojej organizacji. W niniejszym artykule, skupimy się w szczególności na uprawnieniach administratora do inspekcji podmiotu przetwarzającego, w zakresie stosownych przez ten podmiot środków mających zapewnić zgodność przetwarzania danych z wymogami RODO.
Autor:
adw. Łukasz Pociecha

Liczne audyty pokazują, że w dzisiejszych czasach, w znacznej mniejszości pozostają podmioty, które z całą odpowiedzialnością mogą stwierdzić, że nie korzystają z usług podmiotów przetwarzających dane na ich zlecenie. W dużej części przypadków administratorzy ci nie są świadomi, że w relacji z kontrahentami dochodzi do powierzenia danych w rozumieniu przepisów o ochronie danych osobowych.

Autorzy przepisów unijnego rozporządzenia o ochronie danych osobowych (RODO), dostrzegli ten trend, co poskutkowało znacznie bardziej rygorystycznym podejściem do kwestii powierzenia przetwarzania danych osobowych, nakładając na podmioty po obu stronach tej relacji liczne obowiązki, ale również prawa.

Pobierz
 - Lista kontrolna: korzystając z udostępnionego formularza dokonasz weryfikacji podmiotu, któremu chcesz powierzyć dane osobowe do przetwarzania, pod kątem stosowanych przez niego środków technicznych i organizacyjnych mających zapewnić zgodność z przepisami RODO.
- Wzór umowy powierzenia zgodny z RODO: pozwoli na uregulowanie kluczowych kwestii w ramach relacji pomiędzy administratorem a podmiotem przetwarzającym.

Umowa powierzenia - wybór oraz dalsza współpraca z podmiotem przetwarzającym

Całość relacji łączącej administratora z podmiotem przetwarzającym powinna być unormowana w ramach umowy powierzenia przetwarzania danych, której to treść została szczegółowo uregulowana w obowiązujących przepisach unijnego rozporządzenia.

Czy przepisy RODO to dla Ciebie zagadka? Sprawdź dostępne terminy i umów się na spotkanie z naszym doradcą ds. ochrony danych – Cezarym Lutyńskim.

Na wstępie tytułem przypomnienia wskażmy kim tak naprawdę jest podmiot przetwarzający (procesor). Zgodnie z definicją zawartą w art. 4 pkt 8 RODO, podmiotem przetwarzającym jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Z przywołanej definicji wynika, że podmiot przetwarzający działa jedynie na zlecenie administratora, który faktycznie decyduje o celach i sposobach przetwarzania danych osobowych.

 

GRATIS

Efektywne audytowanie procesora - case study

Obejrzyj webinar

Potwierdza to również art. 29 RODO, wskazujący, iż podmiot przetwarzający przetwarza dane wyłącznie na polecenie administratora, z wyjątkiem sytuacji, gdy obowiązek przetwarzania wynika z obowiązujących przepisów prawa. Jako przykłady podmiotów przetwarzających co do zasady można wskazać: biuro księgowe, zewnętrzny call center, firmy archiwizujące dokumenty, partnerzy świadczący usługi techniczne (np. rozwijanie i utrzymywanie systemów informatycznych i serwisów internetowych), agencje marketingowe, podmioty zewnętrzne odpowiedzialne za prowadzenie spraw kadrowo płacowych.

Kluczowy w tym zakresie jest art. 28 RODO wskazujący jakie dokładnie kwestie powinny stanowić przedmiot uzgodnień pomiędzy stronami takiej umowy. Do katalogu wymienionego w przywołanym przepisie wchodzi m.in. obowiązek podmiotu przetwarzającego polegający na udostępnianiu administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwienie administratorowi przeprowadzenia audytu (patrz. art. 28 ust. 3 lit. h RODO).

Ważne
Należy pamiętać, że art. 28 ust. 1 RODO (uzupełniony treścią motywu 81 RODO), przewiduje obowiązek po stronie samego administratora, który to zobowiązany jest przy powierzeniu przetwarzania danych osobowych do korzystania jedynie z takich podmiotów, które gwarantują wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających, że przetwarzanie spełnia wymogi RODO oraz chroni prawa osób, których dane są przetwarzane.

Za zasadną trzeba uznać opinie, według której, wybór administratora w zakresie podmiotu przetwarzającego (procesora) powinien być więc bardzo uważny. Odpowiedzialność za wybór właściwego kontrahenta w zakresie powierzenia przetwarzania danych, spoczywa bowiem na samym administratorze. Decyzja w tym zakresie winna być więc podejmowana przy uwzględnieniu odpowiednich gwarancji podmiotu przetwarzającego, w zakresie wdrożenia środków technicznych i organizacyjnych zapewniających zgodność przetwarzania danych z przepisami RODO, w szczególności w zakresie bezpieczeństwa przetwarzania.

Jednak jak faktycznie dokonać weryfikacji podmiotu przetwarzającego? W tym zakresie bez wątpienia pomocne może być uprawnienia administratora określone w art. 28 ust. 3 lit. h RODO tj.:

  • Dostęp do wszelkich informacji niezbędnych w zakresie spełnienia obowiązków wynikających z RODO
    a stanowiących o bezpieczeństwie przetwarzania danych,
  • Audyt podmiotu przetwarzającego dane w imieniu administratora.
CZYTAJ WIĘCEJ:Umowa powierzenia - udostępniamy wzór.

Prawo do audytowania podmiotu przetwarzającego

Jak wynika bezpośrednio z treści powyżej przywołanego przepisu, samo prawo do audytowania podmiotu przetwarzającego nie powinno budzić żadnych wątpliwości.  Zastanawiać może jednak zakres przeprowadzanego audytu. Jak już wskazano, podmiot przetwarzający udostępnia administratorowi informacje niezbędne do wykazania spełnienia obowiązków wynikających z przepisu art. 28 ust. 2, 3 oraz 4 RODO. Sprawdzenie może zatem dotyczyć następujących informacji:

  • Czy podmiot przetwarzający korzysta z podwykonawców przetwarzających dane powierzone przez administratora na zasadach określonych pomiędzy stronami oraz zgodnie z art. 28 ust. 2 i 4?
    (w szczególności czy umowy podpisywane z podwykonawcami w sposób odpowiedni regulują kwestie związane z przetwarzaniem danych administratora)?
  • Czy podmiot przetwarzający wdrożył odpowiednie środki techniczne i organizacyjne, które umożliwiają procesorowi wsparcie administratora w odpowiadaniu na żądania osób, których dane dotyczą,
    w zakresie realizacji ich praw wynikających z RODO?
  • Czy osoby biorące udział przy przetwarzaniu zostały zobowiązane do zachowania tajemnicy?
  • Czy podmiot przetwarzający wdrożył mechanizmy/procedury, umożliwiające bezzwłoczne zgłoszenie naruszenia bezpieczeństwa danych osobowych?
  • Czy dane nie są przekazywane przez podmiot przetwarzający do państw trzecich?

Też wolisz profilaktykę niż leczenie?

Audyt zgodności z RODO to holistyczne badanie, które pokazuje, w którym miejscu jest organizacja.
ZOBACZ WIĘCEJ
Mając na względzie obowiązek administratora wynikający z art. 28 ust. 1 RODO, nie bez znaczenia powinny również pozostawać następujące informacje:

  • Czy podmiot przetwarzający stosuje fizyczne zabezpieczenia pomieszczeń/obszarów przetwarzania danych osobowych przed dostępem osób nieuprawnionych?
  • Czy podmiot przetwarzający nadaje upoważnienia do przetwarzania danych osobowych?
  • Czy podmiot przetwarzający prowadzi dokumentacje ochrony danych osobowych?
  • Czy podmiot przetwarzający prowadzi rejestr kategorii czynności przetwarzania?
  • Czy podmiot przetwarzający powołał inspektora ochrony danych?

W ramach kształtowania się praktyki w stosowaniu przepisów RODO, popularne staje się regulowanie
w ramach umowy powierzenia uprawnienia po stronie administratora do przeprowadzenia audytu również
u podprocesorów. Tendencja do uregulowania tego zagadnienia w ramach umowy wynika prawdopodobnie z treści art. 28 ust. 4 RODO. Zgodnie z nim podmiot przetwarzający może podpowierzyć dane osobowe jedynie na podstawie umowy zawartej ze swoim podwykonawcą, której treść zapewniać będzie stosowanie przez podwykonawcę środków gwarantujących przetwarzanie zgodnie z wymogami RODO. W interesie administratora pozostaje zatem zapewnienie sobie możliwości przeprowadzenia audytu u podprocesora, w celu utrzymania pełnej kontroli nad przetwarzanymi przez niego danymi osobowymi.

Ważne
Coraz popularniejszym działaniem w zakresie konstruowania umów powierzenia przetwarzania danych pomiędzy administratorem a podmiotem przetwarzającym, jest wprowadzanie postanowień, mających na celu nic innego jak „zniechęcenie” administratora do skorzystania z jego uprawnień w zakresie audytowania podmiotu przetwarzającego.

Przykładem takiego działania jest żądanie stosownej kwoty tytułem opłaty za sam fakt przeprowadzenia sprawdzenia. Podkreślić trzeba, że nie chodzi w tym miejscu o pokrycie kosztów poniesionych przez procesora w zw. z przeprowadzanym audytem (np. udział pracowników procesora w czynnościach audytowych), co można uznać za rozwiązanie dopuszczalne i uzasadnione. Mowa jest w tym miejscu
o postanowieniach przewidujących z góry określoną kwotę kilkudziesięciu tysięcy złotych, za sam fakt przeprowadzenia audytu, narzucanych przez organizacje mające silną pozycję na rynku.

Lista kontrolna jako alternatywa dla audytu procesora

Przepisy RODO nie wskazują w jaki sposób administrator wykazać ma spełnienie wymogu
określonego w art. 28 ust. 1 RODO. Zadaniem administratora jest zatem podejmowanie takich działań, które pozwolą na jak najdokładniejszą weryfikację podmiotu przetwarzającego. Za zasadne działanie w tym zakresie uznać należy stosowanie takich rozwiązań, które w przypadku ewentualnej kontroli ze strony organu nadzorczego wykażą, że administrator dokonał wyboru podmiotu przetwarzającego, zapewniającego bezpieczeństwo przetwarzanych danych osobowych. W przypadku audytu podmiotu przetwarzającego, przywołanym dowodem może być raport z przeprowadzonych czynności audytowych.

Jak wynika jednak z art. 28 ust. 3 lit. h RODO, audyt nie jest jednak jedyną formą weryfikacji podmiotu przetwarzającego. Podkreślenia wymaga, że przywołany przepis obliguje procesora do udostępniania administratorowi wszelkich informacji, wykazujących przestrzeganie przepisów RODO w zakresie powierzenia przetwarzania danych w tym bezpieczeństwa danych osobowych. Treść dokumentu stanowiącego dowód z przeprowadzonej weryfikacji, powinna być na tyle precyzyjna, aby pozwalała administratorowi na uzyskanie szczegółowych informacji w zakresie stosowanych przez podmiot przetwarzający środków technicznych i organizacyjnych, które zapewnić mają zgodność z przepisami RODO oraz bezpieczeństwo danych osobowych przetwarzanych w imieniu administratora.

Akredytowany kurs IOd potwierdzi Twoje wysokie kompetencje

Art. 28 ust. 1 RODO wskazuje na konieczność wyboru przez administratora podmiotów zapewniających wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniających bezpieczeństwo przetwarzanych danych. Biorąc pod uwagę, iż przywołane sformułowanie nie jest precyzyjne, w praktyce to po stronie administratora, będzie leżała ostateczna decyzja w zakresie oceny oraz akceptacji odpowiednich środków stosownych przez podmiot przetwarzający. W związku
z powyższym, lista kontrolna winna zawierać miejsce, w którym podmiot przetwarzający w sposób skrupulatny ustosunkuje się do zawartych w dokumencie pytań administratora. Zasadne jest również, aby administrator w stosowanej liście kontrolnej dokonywał oceny poszczególnych środków zapewniających bezpieczeństwo przetwarzania danych według ustalonych kryteriów przyjętych w procedurze weryfikacji podmiotu przetwarzającego (np. zgodność/częściowa zgodność/niezgodność).

Procedura weryfikacji podmiotu przetwarzającego winna również precyzować progi w ramach których administrator dopuszcza współpracę z weryfikowanym podmiotem przetwarzającym, np.:

  • spełnienie przyjętych kryteriów na poziomie powyżej 80% - podmiot daje gwarancje wdrożenia odpowiednich środków zapewniających spełnienie wymogów RODO i bezpieczeństwa praw, osób, których dane dotyczą.
  • spełnienie przyjętych kryteriów na poziomie od 51 % do 79% - podmiot przetwarzający powinien wprowadzić stosowane zmiany w stosowanych środkach technicznych i organizacyjnych według wskazań administratora.
  • spełnienie przyjętych kryteriów na poziomie poniżej 50 % - podmiot przetwarzający nie daje wystarczającej gwarancji stosowania środków zapewniających spełnienie wymogów RODO
    i bezpieczeństwo praw, osób, których dane dotyczą.

Przeprowadzenie weryfikacji podmiotu przetwarzającego z uwzględnieniem wyżej opisanej listy kontrolnej, pozwala również na okazanie konkretnego dowodu świadczącego o wyborze podmiotu przetwarzającego
z uwzględnieniem obowiązku opisanego w art. 28 ust. 1 RODO.

Termin weryfikacji podmiotu przetwarzającego

Przepisy RODO nie precyzują terminu, w którym administrator ma przeprowadzić weryfikację podmiotu przetwarzającego. Logicznym wydaje się, że sprawdzenie podmiotu przetwarzającego powinno nastąpić
w pierwszej kolejności przez podpisaniem umowy powierzenia oraz faktycznym przekazaniem danych przez administratora. Zdaniem autora, tego typu działanie nie powinno być jednak jedyną czynnością podejmowaną przez administratora w ramach obowiązku weryfikacji podmiotu przetwarzającego określona w art. 28 ust. 1 RODO. Należy w tym miejscu zgodzić się z poglądem, iż w oparciu o treść art. 28 ust. 3 lit. d, e, f, h RODO, zasadną jest teza, według której weryfikacja podmiotu przetwarzającego powinna mieć miejsce ze strony administratora w trakcie przebiegu całej współpracy w ramach zawartej umowy. Administrator powinien bowiem zawsze posiadać aktualne informacje na temat środków bezpieczeństwa wykorzystywanych przy przetwarzaniu danych osobowych, którego w jego imieniu dokonuje podmiot zewnętrzny. Tylko takie działanie należy uznać, za zapewniające spełnienie przez administratora obowiązku wynikającego z art. 28 ust. 1 RODO.

Weryfikacja procesora a branżowe kodeksy postępowania oraz certyfikacja

Przepisy RODO przewidują po stronie podmiotu przetwarzającego alternatywne działanie pozwalającą na wykazanie stosowania środków gwarantujących bezpieczeństwo danych oraz przestrzegania przepisów unijnego rozporządzenia. Mowa tutaj o branżowych kodeksach postępowania oraz certyfikacji, o których traktują odpowiednio art. 40 oraz 42 RODO. Z całą stanowczością należy stwierdzić, że nawet w przypadku posiadania przez procesora jednego z powyższych dokumentów, nie można stwierdzić, aby weryfikacja ze strony administratora (poprzez listę kontrolną lub audyt) nie była potrzebna. Przykładem konieczności przeprowadzenia stosownej weryfikacji może być zdarzenie naruszające ochronę danych osobowych, podlegające obowiązkowemu zgłoszeniu do organu nadzorczego.

Outsourcing weryfikacji procesora

Na zakończenie należy zwrócić uwagę, że istotnym elementem uprawnienia do audytowania podmiotu przetwarzającego jest to, że nie musi być ono wykonane bezpośrednio przez samego administratora lub jego pracownika. W przypadku, w którym administrator nie czuje się na siłach w aspekcie sprawdzenia podmiotu przetwarzającego lub nie dysponuje wystarczającymi zasobami kadrowymi oraz czasowymi do podjęcia takich działań, racjonalnym działaniem jest skorzystanie z wyspecjalizowanego podmiotu zewnętrznego. Z art. 28 ust. 3 lit. h RODO wprost bowiem wynika, że podmiot przetwarzający ma umożliwić audyt administratorowi lub audytorowi upoważnionemu przez administratora. Brak jest zatem przeciwskazań, aby w tym zakresie, administrator mógł skorzystać z podmiotów zewnętrznych specjalizujących się w prowadzeniu działań audytowych.

Pobierz
 - Lista kontrolna: korzystając z udostępnionego formularza dokonasz weryfikacji podmiotu, któremu chcesz powierzyć dane osobowe do przetwarzania, pod kątem stosowanych przez niego środków technicznych i organizacyjnych mających zapewnić zgodność z przepisami RODO.
- Wzór umowy powierzenia zgodny z RODO: pozwoli na uregulowanie kluczowych kwestii w ramach relacji pomiędzy administratorem a podmiotem przetwarzającym.

Czytaj także:

20 września 2023

Audyt RODO w Firmie: Jak się Przygotować i Dlaczego Jest Ważny

6 września 2023

Monitoring GPS a zgodność z RODO: Co musisz wiedzieć?

23 sierpnia 2023

Jak chronić dane podczas wirtualnych spotkań zgodnie z RODO?

Szkolenia

Praktyczny kurs IOD
(32h) online
-
4.51/5 (51) 1
Najczęstsze błędy przy zawieraniu umów powierzenia

Zapisz się na biuletyn ODO 24

Każdy czytelnik naszego biuletunu otrzymuje pakiet 4 bezpłatnych poradników i 4 mikroszkoleń RODO.

Biuletyn z nowościami z obszaru ochrony danych osobowych i bezpieczeństwa informacji wysyłamy raz w miesiącu.

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.

Potwierdź swój adres e-mail

Wysłaliśmy do Ciebie wiadomość.

Tylko jedno kliknięcie dzieli Cię od bezpłatnego pakietu poradników i szkoleń. Potwierdź swój adres e-mail klikając w link, który znajdziesz w wiadomości od ODO 24.

Jeżeli e-mail do Ciebie nie dotrze - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).

„Nasi pracownicy doskonale sobie radzą, szkolenie nie jest im potrzebne"

Jesteś tego pewien?

Zapytaj o e-learning

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>

Potwierdź swój adres e-mail

Wysłaliśmy do Ciebie wiadomość.

Tylko jedno kliknięcie dzieli Cię od bezpłatnego pakietu poradników i szkoleń. Potwierdź swój adres e-mail klikając w link, który znajdziesz w wiadomości od ODO 24.

Jeżeli e-mail do Ciebie nie dotrze - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).

Zamknij
Szukaj w ODO24.pl