RODO: obowiązek weryfikacji procesora a lista kontrolna

Obowiązki procesora w rękach administratora

Procesor to osoba fizyczna lub prawna, która przetwarza dane osobowe i działa jedynie na zlecenie administratora, będącego podmiotem decydującym w kwestii celów oraz sposobów wykorzystywania i przetwarzania danych osobowych. Działanie związane z powierzeniem ich przetwarzania jest obecnie powszechne, ponieważ często naturalnym elementem obrotu gospodarczego jest korzystanie z tzw. usług outsourcingowych, związanych nierozerwalnie z czynnościami dokonywanymi na danych osobowych. Zanim jednak dojdzie do współpracy, jej zasady powinny zostać uregulowane w ramach odpowiedniej umowy.

W szczególny sposób należy zadbać o kwestię weryfikacji działań oraz pracy podmiotu przetwarzającego, co stanowi obowiązek administratora wynikający z przepisów RODO. Pomocny w tym zakresie może być art. 28 ust. 3 lit. h RODO, w myśl którego administrator powinien mieć dostęp do wszelkich informacji niezbędnych w zakresie spełnienia obowiązków wynikających z RODO, a stanowiących o bezpieczeństwie przetwarzania. Zgodnie z przywołanym przepisem może on również przeprowadzić audyt podmiotu przetwarzającego dane.

Podwykonawca zobowiązany jest do zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniło wymagania rozporządzenia i chroniło prawa osób, których dane dotyczą. Co istotne, administrator może korzystać tylko i wyłącznie z podmiotów świadczących usługi dające takie gwarancje – wyjaśnia adw. Łukasz Pociecha, ekspert ds. ochrony danych osobowych, ODO 24.

Polecamy: Kodeks pracy 2019 - komentarz

Lista kontrolna jako alternatywa dla audytu procesora

Audyt jest narzędziem weryfikacji, które niewątpliwie umożliwia administratorowi obiektywną i niezależną ocenę funkcjonowania zewnętrznej firmy pod kątem spełnienia obowiązku prawnego w zakresie zapewnienia ochrony danych osobowych. Podczas kontroli analizie może zostać poddana m.in. kwestia posiadana dokumentacji w zakresie ochrony danych osobowych oraz wdrożenia skutecznych zabezpieczeń techniczno-organizacyjny w zapewniających ochronę danych.. Istnieją jednak alternatywne środki weryfikacji podmiotu przetwarzającego.

Administratorzy mogą przeprowadzić inspekcję działań procesora także za pomocą tzw. listy kontrolnej. Treść tego narzędzia musi być jednak na tyle precyzyjna, aby pozwalała administratorowi na uzyskanie szczegółowych informacji w zakresie stosowanych przez podmiot przetwarzający środków technicznych i organizacyjnych, które zapewnić maja zgodność z przepisami RODO oraz bezpieczeństwo przetwarzanych danych osobowych – wskazuje adw. Łukasz Pociecha, ekspert ds. ochrony danych osobowych, ODO 24.

W liście kontrolnej powinny być przewidziane miejsca zarówno na uwagi do zawartych w dokumencie pytań administratora, jak i oceny poszczególnych środków zapewniających bezpieczeństwo przetwarzania danych według ustalonych kryteriów przyjętych w procedurze weryfikacji podmiotu przetwarzającego (np. zgodność/częściowa zgodność/niezgodność). Przeprowadzenie weryfikacji podmiotu przetwarzającego, z uwzględnieniem opisanej listy kontrolnej, pozwala na okazanie konkretnego dowodu świadczącego o wyborze podmiotu przetwarzającego z uwzględnieniem obowiązku opisanego w art. 28 ust. 1 RODO.

Źródło: Odo24

Zobacz: RODO w firmie