Kontrola Procesora przez Administratora Danych Osobowych
W poniższym artykule przybliżę Państwu jeden z obowiązków spoczywający na administratorze danych osobowych, związany z powierzeniem danych osobowych podmiotowi zewnętrznemu. Z mojego audytorskiego doświadczenia wynika, iż bardzo często pomijany jest obowiązek weryfikacji podmiotu przed podpisaniem umowy powierzenia, jak również monitorowania przestrzegania przez ten podmiot przepisów Rozporządzenia o ochronie danych osobowych (dalej: RODO) oraz warunków współpracy zawartych w umowie powierzenia.
Tytułem przypomnienia wskażmy kim jest podmiot przetwarzający (zwany także procesorem). Zgodnie z definicją wskazaną w art. 4 pkt 8 RODO, podmiotem przetwarzającym jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane w imieniu administratora. Podmiot przetwarzający działa wyłącznie na zlecenie administratora, który to decyduje o celach i sposobach przetwarzania danych osobowych. Powyższe, potwierdza także art. 29 RODO, który to stanowi, że podmiot przetwarzający przetwarza dane wyłącznie na polecenie administratora, z wyjątkiem sytuacji, gdy obowiązek przetwarzania wynika z obowiązujących przepisów prawa. Jako przykłady procesorów możemy wskazać takie podmioty jak: biuro księgowe, podmioty świadczące usługi techniczne (systemy informatyczne, serwisy internetowe), agencje marketingowe, firmy zajmujące się archiwizacją lub niszczeniem dokumentów, podmioty zewnętrzne prowadzące sprawy kadrowo-płacowe.
Kluczowym w tym zakresie jest art. 28 RODO, który wskazuje, że „Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.” Jak zatem widzimy, administrator ma obowiązek weryfikacji podmiotu, któremu zamierza powierzyć dane osobowe. Samo podpisanie umowy powierzenia, bez weryfikacji podmiotu nie zapewni zgodności przetwarzania z art. 28 ust. 1 RODO. W tym miejscu należy wspomnieć także o roli inspektora ochrony danych (jeżeli został powołany przez administratora). Trzeba pamiętać, że należy go włączyć w fazie początkowej procesu wyboru podmiotu przetwarzającego. Niestety zdarza się, iż rola inspektora zostaje ograniczona tylko do zaopiniowania gotowej umowy powierzenia, co w sposób jednoznaczny narusza jego kompetencje wynikające z art. 39 RODO.
A zatem jak monitorować podmiot przetwarzający?
Podmiot przetwarzający powinien być kontrolowany przez administratora za pomocą audytów i inspekcji. Powyższe, rekomenduje także Prezes Urzędu Ochrony Danych Osobowych wskazując, iż przeprowadzanie audytów w tym inspekcji, wynika z art. 28 ust. 3 lit. h RODO, a ten przepis prawa daje administratorowi prawne narzędzie, które może zapewnić, że proces przetwarzania jest zgodny z wymaganiami RODO. Pamiętajmy także, że przeprowadzenie przez administratora audytów oraz inspekcji jest traktowane jako jeden z istotniejszych środków bezpieczeństwa wynikającego z art. 32 ust. 1 RODO, a brak realizacji ww. obowiązków skutkuje naruszeniem art. 25 ust. 1 RODO. W związku z powyższym, uznać należy, że przeprowadzanie audytów u podmiotu przetwarzającego nie jest tylko jego uprawnieniem, jest jego obowiązkiem. Co więcej administrator zobligowany jest do regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Wszelkie operacje audytujące, które chcemy przeprowadzić w podmiocie przetwarzającym powinny być ujęte w umowie powierzenia danych, należy przede wszystkim dokładnie określić zakresy przyszłych audytów i inspekcji. Sprawdzenie może dotyczyć m. in. następujących informacji:
-
Czy podmiot przetwarzający korzysta z podwykonawców przetwarzających dane powierzone przez administratora, a w szczególności czy umowy podpisane z podwykonawcami w odpowiedni sposób regulują kwestie związane z przetwarzaniem danych administratora?
-
Czy podmiot przetwarzający stosuje fizyczne zabezpieczenia pomieszczeń (obszarów przetwarzania danych osobowych) przed dostępem osób nieuprawnionych?
-
Czy podmiot przetwarzający nadaje upoważnienia do przetwarzania danych osobowych oraz czy osoby biorące udział w procesie przetwarzania danych zostały zobowiązane do zachowania tajemnicy?
-
Czy podmiot przetwarzający wdrożył odpowiednie procedury umożliwiające bezzwłoczne i prawidłowe zgłoszenie naruszenia bezpieczeństwa danych osobowych?
-
Czy powierzone dane nie są przekazywane przez podmiot przetwarzający do państw trzecich?
-
Czy podmiot przetwarzający prowadzi dokumentacje ochrony danych osobowych, w tym rejestr kategorii czynności przetwarzania?
-
Czy podmiot przetwarzający powołał inspektora ochrony danych?
Zauważyć należy, że umieszczanie w umowie powierzenia zapisów dotyczących tylko przepisów RODO jest zbyt ogólnikowe i niewystarczalne, a samo oświadczenie procesora o spełnianiu wymogów RODO jak np.: wypełnienie listy kontrolnej jest niewystarczające by uznać, że podmiot spełnia wymagania prawne. Również długotrwała współpraca administratora z procesorem bez stosownych audytów i inspekcji nie gwarantuje, że podmiot przetwarzający realizuje w sposób właściwy zadania wynikające z przepisów prawa oraz z umowy powierzenia. Ponadto, ogromne znaczenie w tym procesie ma przestrzeganie zasady rozliczności, która to pozwoli nam w przypadku kontroli organu nadzorczego wykazać, iż przeprowadziliśmy weryfikacje podmiotu przed podpisaniem umowy powierzenia danych, jak również monitorujemy ten podmiot w trakcje wykonywania umowy.
Zapraszam, także Państwa do zapoznania się z artykułem zamieszczonym na stronie Urzędu Ochrony Danych Osobowych – „Rekordowa kara dla administratora za naruszenie ochrony danych”: DKN.5130.2215.2020
Sylwester Krawczyk
Inspektor Ochrony Danych
Audytor wewnętrzny ISO 27001