Zlecanie usług outsourcingowych wiąże się najczęściej z powierzeniem przetwarzania danych osobowych podwykonawcy-procesorowi, a w konsekwencji – zawarciem umowy powierzenia przetwarzania danych osobowych (DPA). Podpisanie DPA nie zwalnia jednak administratora z weryfikacji podmiotu przetwarzającego dane osobowe.
Dlaczego to tak ważne? Ponieważ choćby w przypadku zlecenia usług profesjonaliście, w sytuacji naruszenia bezpieczeństwa danych osobowych, odpowiedzialność spoczywa głównie na administratorze. W artykule wskazujemy, jak powinna wyglądać taka weryfikacja.
Weryfikacja podmiotu przetwarzającego dane osobowe – o czym pamiętać?
Przed zawarciem umowy powierzenia przetwarzania danych osobowych trzeba przeprowadzić weryfikację podmiotu przetwarzającego, aby upewnić się, iż zapewnia on odpowiedni poziom bezpieczeństwa danych.
Poniższe 5 kroków pomoże administratorom w weryfikacji podmiotu przetwarzającego dane osobowe:
1. W pierwszej kolejności administrator powinien dokonać oceny ryzyka, czyli sprawdzić, czy środki wdrożone przez podmiot przetwarzający dane osobowe są adekwatne i wystarczające. Warto pamiętać, iż ocena ryzyka:
- zależy od sposobu przetwarzania oraz kategorii powierzonych danych osobowych,
- powinna być dokonywana indywidualnie dla wszystkich przypadku, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania, a także zagrożeń dla praw i wolności osób, których dane mają być przetwarzane.
2. Administrator ma prawo domagać się od podmiotu przetwarzającego dane osobowe udokumentowania wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych.
3. Zgodnie ze stanowiskiem Prezesa UODO[1] – samo oświadczenie podmiotu przetwarzającego dane osobowe nie jest wystarczające, aby administrator mógł prawidłowo zweryfikować jego kompetencje i spełnienie wymagań wynikających z RODO. Administrator ma prawo domagać się odpowiedniego udokumentowania określonych oświadczeń.
4. Weryfikując podmiot przetwarzający dane osobowe administrator powinien wziąć pod uwagę następujące czynniki (według wytycznych EROD[2]):
- wiedza fachowa podmiotu przetwarzającego (np. wiedza techniczna w zakresie środków bezpieczeństwa i naruszeń ochrony danych),
- wiarygodność podmiotu przetwarzającego,
- zasoby podmiotu przetwarzającego, wykorzystywane do przetwarzania danych osobowych,
- stosowanie przez podmiot przetwarzający zatwierdzonego kodeksu postępowania lub mechanizmu certyfikacji.
5. Administrator posiada również uprawnienie do zapoznania się z dokumentacją wewnętrzną podmiotu przetwarzającego dane osobowe, w tym m.in. z polityką prywatności / polityką bezpieczeństwa informacji, warunkami świadczenia usług, polityką zarządzania dokumentacją, czy też sprawozdaniami z przeprowadzonych audytów ochrony danych.
Trzeba pamiętać też o utrwaleniu wyników oceny, np. w formie protokołu lub wypełnionego formularza weryfikacyjnego.
Dopiero na podstawie przeprowadzonej weryfikacji podmiotu przetwarzającego dane osobowe administrator powinien podjąć decyzję o wyborze podwykonawcy, który zapewni odpowiedni poziom bezpieczeństwa danych.
Jak zapewnić skuteczną kontrolę podmiotów przetwarzających dane osobowe podczas trwania współpracy?
Kontrola podmiotu przetwarzającego dane osobowe oraz powierzonych mu danych nie kończy się z chwilą zawarcia umowy powierzenia. Administrator powinien stale czuwać nad poziomem bezpieczeństwa gwarantowanym pierwotnie przez podwykonawców. Ma to duże znaczenie szczególnie w przypadku długotrwałej współpracy.
W toku realizacji umowy powierzenia przetwarzania danych osobowych administratorzy mogą korzystać z mechanizmów gwarantowanych przez RODO – przeprowadzać inspekcje oraz audyty. W praktyce działania te mogą różnić się w zależności od zakresu powierzonych danych oraz skali współpracy, a zasady ich przeprowadzania powinny zostać określone w umowie. Warto zadbać, aby postanowienia w tym zakresie określały procedurę oraz uprawnienia administratora – pozwoli to uniknąć ewentualnych wątpliwości.
Administratorzy powinni pamiętać, iż audyty i inspekcje zwiększają poziom bezpieczeństwa danych osobowych. Nie można traktować ich wyłącznie jako środek reakcji na ewentualne incydenty. Działają mobilizująco na podmioty przetwarzające dane osobowe – istotne jest bowiem, aby stosowane przez nich środki techniczne i organizacyjne były na bieżąco dostosowywane do zmieniających się realiów oraz zagrożeń.
Wnioski dla administratorów
Weryfikacja podmiotu przetwarzającego dane osobowe to jeden z podstawowych obowiązków administratora oraz istotny element, o którym należy pamiętać podejmując decyzję o powierzeniu przetwarzania danych osobowych. Kompleksowa ocena pozwoli wybrać podwykonawcę, który gwarantuje odpowiedni poziom bezpieczeństwa dla danych osobowych, a w konsekwencji zminimalizuje ryzyko wystąpienia incydentu ochrony danych lub innych negatywnych konsekwencji. Trzeba pamiętać także o regularnym sprawdzaniu podmiotów przetwarzających dane osobowe w trakcie współpracy.
Nasi specjaliści z obszaru ochrony danych osobowych i bezpieczeństwa informacji zapewniają administratorom kompleksowe wsparcie na każdym etapie procesu powierzenia przetwarzania danych osobowych – w tym również w procesie weryfikacji procesorów. Zapraszamy do kontaktu z zespołem RODO >>.
1 Biuletyn UODO nr 4/06/23 (https://uodo.gov.pl/pl/p/archiwum-biuletynu-dla-iod).
2 https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_pl.