Czy i w jaki sposób możliwa jest skuteczna weryfikacja procesora (wewnątrz EOG), bez jego aktywnego udziału (np. wyłącznie na podstawie dokumentacji załączonej do umowy lub udostępnianej przez procesora na www)? Czy zawierając umowę powierzenia z podmiote

ODPOWIEDŹ

Najbardziej pożądanym rozwiązaniem weryfikującym procesora jest dokonanie u niego audytu fizycznego, co jednak w realiach biznesowych bywa problematyczne czy wręcz niemożliwe. ADO może wówczas zdecydować albo o wybraniu innego podmiotu na procesora, takiego który na taki audyt pozwoli, albo może weryfikować go za pomocą innych środków (np. ankiety), akceptując przy tym pewne ryzyko związane z realnym brakiem możliwości fizycznego audytowania kontrahenta.

Jeśli nie ma możliwości pozyskania od takiego procesora wypełnionej ankiety bezpieczeństwa pochodzącej od administratora, należy podjąć inne działania, by dokonać jego weryfikacji. Dobrym rozwiązaniem jest zweryfikowanie dokumentacji ochrony danych udostępnianej na stronie, w tym informacji o stosowanych środkach technicznych i organizacyjnych, które udostępniane są na stronie internetowej lub w inny sposób, np. jako załącznik do umowy.

Ważne jest zachowanie takich informacji i wykazu dla celów rozliczalności i pamiętanie, o tym, by taką weryfikację co jakiś czas ponawiać.
Należy mieć również na uwadze, że w orzecznictwie pojawiło się stanowisko (wyrok WSA z 19.04.2022 r. II SA/Wa 2259/21, w sprawie dotyczącej Microsoft Teams, który zdaje się, że można jednak odnieść również do innych, podobnych podmiotów), zgodnie z którym można przyjąć domniemane, że renomowane podmioty, powszechnie znane, takie jak np. właśnie Microsoft Corporation) posiadają u siebie wdrożone środki odpowiadające wymogom RODO, w tym zapewniające bezpieczeństwo przetwarzania.

Transfer danych poza EOG, czy to na podstawie decyzji o adekwatności, standardowych klauzul umownych czy w oparciu o innych mechanizm – nie zwalnia z obowiązku zawarcia umowy powierzenia i weryfikacji procesora.