Kontrolowanie podmiotu przetwarzającego jako uprawnienie administratora danych osobowych - RODO 2018

19 lip 2018
Kontrolowanie podmiotu przetwarzającego jako uprawnienie administratora danych osobowych - RODO 2018 /Fot. Fotolia / Fotolia
Uregulowanie relacji pomiędzy administratorem a podmiotem przetwarzającym dane (popularnym procesorem) współcześnie stało się jedną z podstawowych czynności, które sam administrator musi uwzględnić w systemie ochrony danych w swojej organizacji. Liczne audyty pokazują, że w dzisiejszych czasach, w znacznej mniejszości pozostają podmioty, które z całą odpowiedzialnością mogą stwierdzić, że nie korzystają z usług podmiotów przetwarzających dane na ich zlecenie. W dużej części przypadków administratorzy ci nie są świadomi, że w relacji z kontrahentami dochodzi do powierzenia danych w rozumieniu przepisów o ochronie danych osobowych.

Autorzy przepisów unijnego rozporządzenia o ochronie danych osobowych (RODO), dostrzegli ten trend, co poskutkowała znacznie bardziej rygorystycznym podejściem do kwestii powierzenia przetwarzania danych osobowych, nakładając na podmioty po obu stronach tej relacji liczne obowiązki, ale również prawa. W niniejszym artykule, skupimy się w szczególności na uprawnieniu administratora do inspekcji podmiotu przetwarzającego.

Na wstępie tytułem przypomnienia wskażmy kim tak naprawdę jest podmiot przetwarzający (procesor). Zgodnie z definicją zawarta w art. 4 pkt 8 RODO, podmiotem przetwarzającym jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Z przywołanej definicji wynika, że podmiot przetwarzający działa jedynie na zlecenie administratora, który faktycznie decyduje o celach i sposobach przetwarzania danych osobowych. Potwierdza to również art. 29 RODO, wskazujący, iż procesor przetwarza je jedynie wyłącznie na polecenie administratora, z wyjątkiem sytuacji gdy obowiązek przetwarzania wynika z obowiązujących przepisów prawa. Za klasyczne przykłady podmiotów przetwarzających należy uznać: biuro księgowe, zewnętrzny call center, firmy archiwizujące dokumenty, partnerzy świadczący usługi techniczne (np. rozwijanie i utrzymywanie systemów informatycznych i serwisów internetowych), agencje marketingowe, podmioty zewnętrzne odpowiedzialne za prowadzenie spraw kadrowo płacowych.

Całość relacji łączącej administratora z podmiotem przetwarzającym winna być unormowana w ramach umowy powierzenia przetwarzania danych, której to treść została szczegółowo uregulowana w obowiązujących przepisach unijnego rozporządzenia. Kluczowy w tym zakresie jest art. 28 RODO wskazujący jakie dokładnie kwestie winny stanowić przedmiot uzgodnień pomiędzy stronami takiej umowy. Do katalogu wymienionego w przywołanym wchodzi również obowiązek podmiotu przetwarzającego polegający na umożliwieniu administratorowi przeprowadzenia audytu w jego organizacji.

Polecamy: Pakiet żółtych książek - Podatki 2018

Należy pamiętać, że art. 28 RODO, przewiduje obowiązki również po stronie samego administratora, który to zobowiązany jest do korzystania z jedynie z tego typu podmiotów, które gwarantują wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniających, że przetwarzani spełnia wymogi RODO oraz chroni prawa osób, których dane są przetwarzane. W tym zakresie bez wątpienia pomocne może być uprawnienie administratora do audytu podmiotu przetwarzającego dane w jego imieniu.

Przepisy RODO przewidują po stronie podmiotu przetwarzającego alternatywne działanie pozwalającą na wykazanie stosowania środków gwarantujących bezpieczeństwo danych oraz przestrzegania przepisów unijnego rozporządzenia. Mowa tutaj o branżowych kodeksach postępowania oraz certyfikacji, o których traktują odpowiednio art. 40 oraz 42 RODO. Z całą stanowczością należy stwierdzić, że nawet w przypadku posiadania przez procesora jednego z powyższych dokumentów, nie można wykluczyć aby sprawdzenia (audyty) ze strony administratora nie były potrzebne np. w sytuacji zaistnienia zdarzenia naruszającego ochronę danych osobowych podlegającego obowiązkowemu zgłoszeniu do organu nadzorczego.

Zobacz również:

Jak wynika z powyższego, samo prawo do audytowania podmiotu przetwarzającego nie powinno budzić żadnych wątpliwości. Zastanawiać może jednak zakres przeprowadzanego audytu. Jak już wskazano, podmiot przetwarzający udostępnia administratorowi informacje niezbędne do wykazania spełnienia obowiązków wynikających z przepisu art. 28 ust. 2, 3 oraz 4 RODO. Sprawdzenie może zatem dotyczyć następujących informacji:

  • Czy podmiot przetwarzający korzysta z podwykonawców przetwarzających dane powierzone przez administratora na zasadach określonych pomiędzy stronami oraz zgodne z art. 28 ust. 2 i 4? (w szczególności, czy umowy podpisywane z podwykonawcami w sposób odpowiedni regulują kwestie związane z przetwarzaniem danych administratora)
  • Czy podmiot przetwarzający wdrożył odpowiednie środki techniczne i organizacyjne, które umożliwiają procesorowi wsparcie administratora w odpowiadaniu na żądania osób, których dane dotyczą, w zakresie realizacji ich praw wynikających z RODO?
  • Czy osoby biorące udział przy przetwarzaniu zostały zobowiązane do zachowania tajemnicy?
  • Czy podmiot przetwarzający wdrożył mechanizmy/procedury, umożliwiające bezzwłoczne zgłoszenie naruszenia bezpieczeństwa danych osobowych?
  • Czy dane nie są przekazywane przez podmiot przetwarzający do państw trzecich?

Zobacz: RODO w firmie

Mając na względzie obowiązek administratora wynikający z art. 28 ust. 1 RODO, nie bez znaczenia winny również pozostawać następujące informacje:

  • Czy podmiot przetwarzający stosuje fizyczne zabezpieczenia pomieszczeń/obszarów przetwarzania danych osobowych przed dostępem osób nieuprawnionych?
  • Czy podmiot przetwarzający nadaje upoważnienia do przetwarzania danych osobowych?
  • Czy podmiot przetwarzający prowadzi dokumentacje ochrony danych osobowych?
  • Czy podmiot przetwarzający prowadzi rejestr kategorii czynności przetwarzania?
  • Czy podmiot przetwarzający powołał inspektora ochrony danych?

Należy wskazać, że w ramach kształtowania się praktyki w stosowaniu przepisów RODO, popularne staje się regulowanie w ramach umowy powierzenia uprawnienia po stronie administratora do przeprowadzenia audytu również u podprocesorów. Tendencja do uregulowania tego zagadnienia w ramach umowy wynika prawdopodobnie z treści art. 28 ust. 4 RODO. Zgodnie z nim podmiot przetwarzający może podpowierzyć dane osobowe jedynie na podstawie umowy zawartej ze swoim podwykonawca, której treść zapewniać będzie stosowanie przez podwykonawcę środków gwarantujących przetwarzanie zgodnie z wymogami RODO. W interesie administratora pozostaje zatem zapewnienie sobie możliwości przeprowadzenia audytu u podprocesora, w celu utrzymania pełnej kontroli nad przetwarzanymi przez niego danymi osobowymi.

Kolejnym coraz popularniejszym działaniem w zakresie konstruowania umów powierzenia przetwarzania danych pomiędzy administratorem a podmiotem przetwarzającym, jest wprowadzanie postanowień, mających na celu nic innego jak „zniechęcenie” administratora do skorzystania z jego uprawnień w zakresie audytowania podmiotu przetwarzającego. Przykładem takiego działania jest żądanie stosownej kwoty tytułem opłaty za sam fakt przeprowadzenia sprawdzenia. Podkreślić trzeba, że nie chodzi w tym miejscu o pokrycie kosztów poniesionych przez procesora w zw. z przeprowadzanym audytem (np. udział pracowników procesora w czynnościach audytowych), co można uznać za rozwiązanie dopuszczalne i uzasadnione. Mowa jest w tym miejscu o postanowieniach przewidujących z góry określoną kwotę kilkudziesięciu tysięcy złotych, za sam fakt przeprowadzenia audytu, narzucanych przez organizacje mające silną pozycję na rynku.

Na zakończenie należy również zwrócić uwagę, że istotnym elementem uprawnienia do audytowania podmiotu przetwarzającego jest to, że nie musi być ono wykonane bezpośrednio przez samego administratora lub jego pracownika. W przypadku, w którym administrator nie czuje się na siłach w aspekcie sprawdzenia podmiotu przetwarzającego lub nie dysponuje wystarczającymi zasobami kadrowymi oraz czasowymi do podjęcia takich działań, racjonalnym działaniem jest skorzystanie z wyspecjalizowanego podmiotu zewnętrznego. Z art. 28 ust. 3 lit. h RODO wprost bowiem wynika, że podmiot przetwarzający ma umożliwić audyt administratorowi lub audytorowi upoważnionemu przez administratora. Brak jest zatem przeciwwskazań aby w tym zakresie, administrator mógł skorzystać z podmiotów zewnętrznych specjalizujących się w prowadzeniu działań audytowych.

Autor: Adw. Łukasz Pociecha, ekspert ds. ochrony danych, ODO 24

Moja firma
Sztuczna inteligencja w branży hotelarskiej. Sprawdza się czy nie?
30 kwi 2024

Jak nowe technologie mogą wpłynąć na branżę hotelarską? Czy w codziennym funkcjonowaniu obiektów hotelowych zastąpią człowieka? Odpowiadają przedstawiciele hoteli z różnych stron Polski, o różnych profilach działalności, należących do Grupy J.W. Construction.

Jak zarządzać budżetem biznesu online, gdy wzrastają koszty?
30 kwi 2024

Biznes e-commerce jest pełen wyzwań, bo wymaga zarządzania na wielu płaszczyznach. Jak zachować ciągłość finansową, gdy operator zmienia warunki współpracy? 

Mikroprzedsiębiorcy poszli po kredyty, ale banki udzieliły ich mniej, niż rok temu
30 kwi 2024

Według informacji przekazanych przez Biuro Informacji Kredytowej, w marcu br. banki udzieliły mikroprzedsiębiorcom o 4,5 proc. mniej kredytów, a ich wartość była niższa o 3,3 proc. w porównaniu do marca 2023 r.

Dane GUS na temat handlu hurtowego i nowych zamówień w przemyśle. Poniżej oczekiwań ekspertów
29 kwi 2024

Z danych GUS na temat handlu hurtowego i nowych zamówień w przemyśle w marcu br. wynika m.in., że typowy dla tego okresu wzrost sprzedaży hurtowej w ujęciu miesięcznym osiąga niższą, od notowanej w tym okresie w ubiegłych latach, dynamikę. Statystyki pokazują również kontynuację trwającego już od lutego 2023 roku okresu ujemnej dynamiki sprzedaży hurtowej w ujęciu rocznym. Marcowe dane na temat nowych zamówień w przemyśle, pokazujące znaczny spadek w stosunku do ubiegłego roku, są kolejnym powodem do niepokoju po ogłoszonych wcześniej przez GUS, rozczarowujących wynikach produkcji przemysłowej (spadek o 6,0% r/r w marcu b.r).

Niższy ZUS będzie sprzyjał decyzjom o otwarciu JDG?
29 kwi 2024

W 2023 r. powstało 302 tys. nowych firm jednoosobowych, a 177 tys. odwiesiło swoją działalność. Jednocześnie z rejestrów wykreślono ich aż 196,5 tys. Czy mniejsze koszty prowadzenia działalności gospodarczej spowodują, że będzie ich otwierać się więcej? 

Dostawa jedzenia w majówkę nie musi być tylko do domu
26 kwi 2024

Majówka w tym roku, przy dobrej organizacji urlopu, może mieć aż 9 dni. Część Polaków decyduje się na taki długi wyjazd, sporo planuje wziąć dodatkowe wolne tylko 2 maja i też wyjechać, część będzie odpoczywać w domu. Będziemy jadać w restauracjach, gotować czy zamawiać jedzenie na wynos?

Jaki jest sekret sukcesu rodzinnych firm?
26 kwi 2024

Magazyn "Forbes" regularnie publikuje listę 100 najbogatszych Polaków. W pierwszej dziesiątce tegorocznego zestawienia jest kilku przedsiębiorców działających w firmach rodzinnych. Jaka jest ich recepta na sukces? 

Skuteczne kierowanie rozproszonym zespołem w branży medycznej
26 kwi 2024

Zarządzanie zespołem w branży medycznej to zadanie, które wymaga nie tylko specjalistycznej wiedzy, ale też głębokiego zrozumienia dynamiki interpersonalnej i psychologii pracy. Jako przedsiębiorca i założyciel BetaMed S.A., zawsze stawiałam przede wszystkim na rozwój kompetencji kierowniczych, które bezpośrednio przekładały się na jakość opieki nad pacjentami i atmosferę panującą w zespole.

GUS: Wzrósł indeks kosztów zatrudnienia. Czy wzrost kosztów pracy może być barierą w prowadzeniu działalności gospodarczej?
25 kwi 2024

GUS podał, że w IV kwartale 2023 r. indeks kosztów zatrudnienia wzrósł o 1,9 proc. kdk i 12,8 proc. rdr. Mimo to zmniejszył się udział firm sygnalizujących, że wzrost kosztów pracy lub presji płacowej może być w najbliższym półroczu barierą w prowadzeniu działalności gospodarczej.

Biznesowy sukces na rynku zdrowia? Sprawdź, jak się wyróżnić
25 kwi 2024

W Polsce obserwujemy rosnącą liczbę firm, które specjalizują się w usługach związanych ze zdrowiem, urodą i branżą wellness. Właściciele starają się wyjść naprzeciw oczekiwaniom klientów i jednocześnie wyróżnić na rynku. Jak z sukcesami prowadzić biznes w branży medycznej? Jest kilka sposobów. 

pokaż więcej
Proszę czekać...