Wybór kontrahenta
Podmioty prowadzące działalność gospodarczą wchodzą w różnego rodzaju relacje biznesowe, szczegółowo dobierając swoich kontrahentów. Często kontrahent weryfikowany jest pod kątem jego renomy, ceny, zakresu oferowanych usług czy responsywności – a ostateczny wybór jest w pełni świadomą decyzją. Niemniej jednak równie często zdarza się, iż administrator danych nawet jeżeli poprawnie zidentyfikuje relacje danoosobowe, zapomina o weryfikacji wybranego podmiotu pod kątem wypełniania przez niego obowiązków nakładanych przez RODO. Niestety takie podejście może stanowić kosztowny błąd.
Zgodnie bowiem z art. 28 ust. 1 RODO jeżeli przetwarzanie ma być dokonane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
To na administratorze, ciąży obowiązek weryfikacji czy podmiot przetwarzający wdraża odpowiednie środki techniczne i organizacyjne, a wybór dostawcy pod kątem RODO powinien być tak samo przemyślany, jak pod kątem każdego innego aspektu przyszłej współpracy.
Zgodnie z decyzją Prezesa Urzędu Ochrony Danych Osobowych z dnia 22 stycznia 2022 roku (DKN.5130.2215.2020) (…) przeprowadzenie przez administratora w podmiocie przetwarzającym audytów, w tym inspekcji należy traktować jako jeden z istotniejszych środków bezpieczeństwa, jakie powinien zastosować administrator w celu prawidłowego wywiązania się ze swoich obowiązków wynikających z art. 32 ust. 1 rozporządzenia 2016/679. (…) Długotrwała współpraca stron, nie poparta okresowym, systematycznym przeprowadzaniem audytów bądź inspekcji nie gwarantuje, iż podmiot przetwarzający zrealizuje w sposób prawidłowy zadania wymagane przepisami prawa oraz wynikające z zawartej umowy powierzenia. Dotychczasowa pozytywna ocena współpracy stanowić może jedynie punkt wyjścia przy dokonywaniu weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje (…).
Weryfikacja podmiotu przetwarzającego
RODO nie wskazuje jednak jednoznacznie, w jaki sposób weryfikacja podmiotu przetwarzającego powinna zostać przeprowadzona, dając tym samym administratorom danych pewną swobodę w tym zakresie. Najistotniejszą kwestią jest jednak, aby taka weryfikacja:
- nastąpiła przed zawarciem umowy z danym podmiotem, a w szczególności przed przekazaniem danych. W sytuacji, gdy już doszło do zawarcia umowy, audyt powinien być przeprowadzony w trakcie trwania współpracy i na podstawie jego wyników administrator powinien podjąć decyzję co do dalszej współpracy z procesorem,
- miała charakter ciągły i powinna być ponawiana cyklicznie w trakcie całej współpracy z procesorem,
- forma kontroli powinna zostać dostosowana do charakteru i zakresu powierzanych danych oraz
- powinna zostać odpowiednio udokumentowana (np. pozyskanie podpisanego kwestionariusza zawierającego odpowiedzi na zadane pytania czy sporządzenie raportu z przeprowadzonego audytu fizycznego lub audytu przekazanej dokumentacji).
Co ważne RODO przychodzi w tym zakresie z pomocą, gdyż zgodnie z art. 28 ust. 3 lit. h) RODO umowa powierzenia przetwarzania powinna zobowiązać procesora do udostępnienia administratorowi wszelkich informacji niezbędnych do wykazania spełnienia zawartych w art. 28 RODO obowiązków oraz umożliwienia przeprowadzania audytów, w tym inspekcji.
Jednym z popularnych sposobów weryfikacji procesora jest przekazanie wybranemu podmiotowi listy pytań dotyczących jego działalności. Pytania takie powinny szczegółowo obejmować różne aspekty działalności procesora dotyczące m. in.:
- stosowanych zabezpieczeń fizycznych w zakresie dostępu do danych,
- stosowanych zabezpieczeń w zakresie systemów IT,
- edukacji personelu podmiotu przetwarzającego w zakresie ochrony danych osobowych oraz szeroko rozumianej prywatności,
- zobowiązania personelu procesora do zachowania poufności,
- wdrażanych procedur i dokumentacji z zakresu ochrony danych osobowych,
- wydawanych upoważnień,
- wdrażanych systemów postępowania w przypadku wykrytego naruszenia,
- korzystania z innych podmiotów przetwarzających,
- powołania Inspektora Ochrony Danych, czy też
- planowanego transferu danych poza EOG.
Uzyskanie odpowiedzi w zakresie tego rodzaju kwestii jest niezbędne celem ocenienia prawdziwej relacji z procesorem. Często skłania również samego procesora do analizy stosowanych przez niego zabezpieczeń oraz procesów, w jakich dane rzeczywiście będą brały udział. Dodatkowo już na wstępie pozwala ustalić niezwykle istotne kwestie dotyczące potencjalnego transferu danych poza EOG.
Ważnym jednak jest fakt, iż kwestionariusz taki nie powinien stanowić jedynie formalności. Ocena procesora pod kątem zgodności z RODO jest jednym z elementów oceny ryzyka i rzeczywiście powinna zostać rzetelnie przeanalizowana przez administratora. Zdajemy sobie sprawę, iż w każdej organizacji zdarzają się rzeczy, które nie są „modelowe”, są jednak pewne standardy ochrony danych, które bezwzględnie muszą zostać wdrożone w organizacji. Oczywiście dokument taki powinien zostać podpisany przez osoby uprawnione do reprezentacji kontrahenta w tym zakresie, nie zaś przez przypadkowe osoby uzupełniające go ze strony procesora.
Zgodnie z wytycznymi EROD 07/2020 dotyczącymi pojęć administratora i podmiotu przetwarzającego zawartych w RODO – Gwarancje „zapewniane” przez podmiot przetwarzający to te, które podmiot przetwarzający jest w stanie wykazać w sposób zadowalający administratora, ponieważ są to jedyne gwarancje, które administrator może skutecznie uwzględnić przy ocenie wypełniania swoich obowiązków. Często będzie to wymagało wymiany odpowiedniej dokumentacji (np. polityki prywatności, warunków świadczenia usług, rejestru czynności przetwarzania, polityki zarządzania dokumentacją, polityki bezpieczeństwa informacji, sprawozdań z zewnętrznych audytów ochrony danych, uznanych międzynarodowych certyfikatów, takich jak normy ISO 27000).
EROD wskazuje przy tym, iż administrator powinien każdorazowo wziąć pod uwagę takie elementy, jak wiedza fachowa, wiarygodność oraz zasoby podmiotu przetwarzającego. Również reputacja takiego podmiotu może mieć w tym kontekście znaczenie.
W najnowszym newsletterze dla IOD tworzonym przez UODO – organ nadzoru również podkreśla kwestię wykazania spełnienia poszczególnych obowiązków np. poprzez weryfikację wdrożonej u procesora dokumentacji i nie opierania na samym oświadczeniu procesora w tym zakresie.
Ciągły obowiązek kontroli
Ważnym jednak do podkreślenia jest fakt, iż obowiązek kontroli podmiotu przetwarzającego nie kończy się na jego weryfikacji przed zawarciem umowy i przekazaniem danych, lecz jest obowiązkiem ciągłym. Zatem również w trakcie trwania współpracy administrator powinien cyklicznie dokonywać weryfikacji środków technicznych stosowanych przez procesora poprzez zaplanowane lub doraźne (jeżeli zajdzie taka potrzeba) audyty oraz inspekcje.
Kary
Niedochowanie należytej staranności w wyborze podmiotu przetwarzającego może być dla administratora danych niezwykle kosztowną lekcją, albowiem zagrożone jest karą do 10.000.000 EUR, a w przypadku przedsiębiorstwa – 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Podsumowanie
- administrator danych przed przekazaniem danych do podmiotu przetwarzającego powinien dokonać jego weryfikacji pod kątem spełniania przez ten podmiot wszelkich wymogów dotyczących zabezpieczenia danych stawianych przez RODO,
- obowiązek kontroli procesora ma charakter ciągły, a stosowne audyty powinny być ponawiane w trakcie trwającej współpracy,
- RODO nie wskazuje wprost, w jakiej formie powinien zostać przeprowadzony tego rodzaju audyt. Z tego też względu jego forma zawsze powinna zostać dobrana do możliwości stron oraz charakteru i rodzaju przetwarzanych danych.
Gdybyście potrzebowali Państwo naszego wsparcia w tym zakresie bądź chcieli uzyskać przykładowy kwestionariusz kontrolny podmiotu przetwarzającego – nasz zespół pozostaje do Państwa dyspozycji.
