Jak powinien wyglądać modelowy audyt podmiotu przetwarzającego w razie incydentu oraz czy (i co) powinna zawierać analiza ryzyka po incydencie?
ODPOWIEDŹ
W przypadku naruszenia ochrony danych osobowych na danych administratora, przetwarzanych przez podmiot przetwarzający, sugerowane jest przeprowadzenie audytu doraźnego, w ramach którego należałoby podjąć działania mające na celu:
- minimalizację skutków zdarzenia,
- wyjaśnienie okoliczności zdarzenia,
- zabezpieczenie dowodów zdarzenia,
- weryfikację naruszenia ochrony danych osobowych pod kątem ewentualnego zgłoszenia w ciągu 72 godzin do Prezesa Urzędu, niezbędną do wykonania zobowiązania wynikającego z art. 33 RODO,
- weryfikację naruszenia ochrony danych osobowych pod kątem ewentualnego niezwłocznego zawiadomienia osoby, której dane objęte są naruszeniem, niezbędną do wykonania zobowiązania wynikającego z art. 34 RODO.
Powyższe oczywiście jest niezbędne z perspektywy administratora do właściwej oceny naruszenia i realizacji wymogów RODO. Nic nie stoi jednak na przeszkodzie, aby na skutek naruszenia, u procesora przeprowadzić dalej idący audyt, związany nie tylko z tym pojedynczym zdarzeniem, ale z ogólnym kontekstem działania organizacji w zakresie, w jakim może to dotyczyć stosunku powierzenia, w tym zasobów organizacji - procesora, które uczestniczą w przetwarzaniu danych w imieniu administratora.
Przykładowo, możemy zwrócić się do procesora o udostępnienie wyników analizy ryzyka dla zasobów uczestniczących w przetwarzaniu tych danych, którą to analizę procesor powinien był wykonać (i być może na skutek naruszenia ponowić), zgodnie z art. 32 RODO.
