Dlaczego i jak weryfikować podmioty przetwarzające?

Weryfikacja zgodności podmiotów przetwarzających z RODO przed zawarciem umowy powierzenia jest obecnie dla większości administratorów standardem.

Zapominają oni jednak, że mają obowiązek wykonywania audytów podmiotów przetwarzających również w trakcie trwania współpracy. Szczególnego znaczenia zobowiązanie to nabiera w przypadku wystąpienia naruszenia u podmiotu przetwarzającego.

Weryfikacja przed nawiązaniem współpracy

Model prowadzenia działalności gospodarczej obecnie wyraźnie się zmienia. Administratorzy realizują we własnym zakresie coraz mniej obowiązków – na rzecz zlecania ich wykonania zewnętrznym kontrahentom. W przypadku specjalistycznych usług, w zakresie których administrator może nie posiadać kompetencji, outsourcing jest często konieczny do osiągnięcia celu biznesowego. Jeżeli w ramach świadczenia takich usług kontrahent administratora będzie przetwarzał dane osobowe, zastosowanie znajdą przepisy RODO.

Przed zawarciem umowy administrator musi zatem sprawdzić, czy potencjalny przyszły procesor daje gwarancje bezpiecznego przetwarzania danych osobowych i realizacji innych obowiązków wynikających z RODO. Jeżeli taka weryfikacja wykaże brak zdolności procesora do świadczenia usług zgodnie z RODO, administrator nie powinien korzystać z jego usług.

Co weryfikować?

Przepisy RODO określają ogólnie, iż przetwarzanie danych osobowych przez procesora powinno spełniać wymogi rozporządzenia, w tym chronić prawa podmiotów danych (art. 28 ust. 1 RODO) oraz spełniać wymogi bezpieczeństwa (motyw 81 Preambuły RODO). W tym celu procesor jest zobowiązany wdrożyć odpowiednie środki techniczne i organizacyjne. Przed rozpoczęciem współpracy z potencjalnym kontrahentem administrator powinien ocenić, czy procesor daje gwarancje przetwarzania danych zgodnie z powyższymi wymogami.

Sposób weryfikacji, pytania zadawane procesorowi, ich dokładność i zakres mogą być różne w zależności od charakteru powierzenia i zakresu powierzonych danych. Z pewnością jednak podmiot, który nie posiada procedury notyfikacji naruszeń, nie prowadzi obowiązkowych rejestrów (naruszeń, RCP, RKCP) lub nie zapewnia podstawy prawnej transferu danych poza EOG, nie gwarantuje braku naruszenia obowiązków wynikających z RODO. Powinny to zatem być jedne z elementów sprawdzanych przez administratora.

Administrator musi zweryfikować działalność procesora w taki sposób, aby móc ocenić, czy przetwarzanie przez niego danych nie doprowadzi do naruszenia ochrony danych osobowych, naruszenia umowy lub przepisów RODO. Zgodnie z motywem 81 Preambuły RODO odpowiedni podmiot przetwarzający powinien legitymować się:

  • wiedzą fachową (kompetencje teamelu, doświadczenie);
  • wiarygodnością (np. certyfikaty ISO, wdrożone kodeksy postępowania, ewentualnie przebieg dotychczasowej współpracy);
  • zasobami (zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, stosowanie wewnętrznych procedur).

Na tej podstawie administrator może ocenić gwarancje procesora w zakresie wdrożenia środków technicznych i organizacyjnych zapewniających właściwe stosowanie przepisów RODO.

Dodatkowa weryfikacja nie jest konieczna, jeśli podmiot przetwarzający stosuje zatwierdzony kodeks postępowania lub zatwierdzony mechanizm certyfikacji. Przyjmuje się wówczas, iż spełnia on wymogi, o których mowa w art. 28 ust. 1 RODO.

Rozpoczęcie współpracy z procesorem, który nie zapewnia odpowiednich gwarancji, jest naruszeniem obowiązków administratora. Również brak weryfikacji lub brak udokumentowania jej przeprowadzenia naraża administratora na zarzut naruszenia przepisów RODO. W takim przypadku – oprócz odpowiedzialności administracyjnoprawnej – wzrasta ryzyko naruszenia praw i wolności podmiotów danych, co może skutkować dodatkowymi konsekwencjami dla administratora.

Weryfikacja procesora po zawarciu umowy

O ile weryfikacja podmiotów przetwarzających przed zawarciem umowy powierzenia jest obecnie pewnym standardem, o tyle w większości przypadków zapomina się o weryfikowaniu zgodności przetwarzania z przepisami przez procesora w trakcie trwania umowy. Tymczasem uprawnienie administratora, o którym mowa w art. 28 ust. 3 lit. h) RODO, z chwilą zawarcia umowy powierzenia staje się jego obowiązkiem. Postanowienia określające obowiązki procesora związane z poddaniem się audytowi administratora są obligatoryjnym elementem umowy powierzenia.

Obowiązek zapewniania przez procesora zgodności przetwarzania danych z wymogami RODO trwa przez cały okres obowiązywania umowy powierzenia. Administrator jest zobowiązany tę zgodność weryfikować – weryfikacja dokonana przed zawarciem umowy po pewnym czasie przestaje być aktualna. Wpływać na to mogą zmiany okoliczności przetwarzania, standardów rynkowych, przepisów prawa lub pojawianie się nowych zagrożeń.

Administrator musi podjąć decyzję, z jaką częstotliwością będzie powtarzał weryfikację podmiotu przetwarzającego, o ile nie wystąpią okoliczności uzasadniające przeprowadzenie jej przed upływem założonego okresu. Częstotliwość ta może być różna w zależności od charakteru powierzenia i kontekstu przetwarzania, niemniej wydaje się, że weryfikacja powinna następować nie rzadziej niż co 12 miesięcy.

Naruszenia podmiotu przetwarzającego

Szczególnie trudno może być uzasadnić administratorowi brak przeprowadzenia audytu po wystąpieniu naruszenia ochrony danych osobowych u procesora. Takie zdarzenie pozostaje nie bez znaczenia dla dalszego bezpieczeństwa przetwarzania danych osobowych. Administrator musi mieć pewność, że dane osobowe przetwarzane w jego imieniu przez podmiot przetwarzający nie są narażone na kolejne naruszenia.

W takim przypadku administrator jest zobowiązany podjąć czynności minimalizujące skutki wystąpienia naruszenia oraz zapobiegające podobnym sytuacjom w przyszłości. Jeżeli do naruszenia doszło po stronie podmiotu przetwarzającego, administrator powinien:

  • przeprowadzić audyt zgodności przetwarzania danych przez ten podmiot przetwarzający, ze szczególnym uwzględnieniem obszarów, których dotyczyło naruszenie (np. bezpieczeństwo danych), a w razie zidentyfikowania problemów skierować do podmiotu przetwarzającego odpowiednie zalecenia;
  • monitorować wdrożenie przez podmiot przetwarzający zmian i zaleceń po wystąpieniu naruszenia oraz zażądać informacji o podjętych działaniach.

Brak przeprowadzenia audytu po wystąpieniu naruszenia u podmiotu przetwarzającego i dalsze korzystanie z jego usług naraża administratora na odpowiedzialność z tytułu naruszenia obowiązków korzystania z usług podmiotów przetwarzających zapewniających odpowiednie gwarancje przetwarzania danych osobowych zgodnie z RODO, a także w zakresie stosowania środków zapobiegających występowaniu naruszeń w przyszłości.

Sposób wykonania audytu

RODO nie określa, w jaki sposób należy dokonywać weryfikacji zapewnienia przez procesora gwarancji przetwarzania danych zgodnie z przepisami (pomijając stosowanie przez procesora zatwierdzonych kodeksów postępowania lub mechanizmów certyfikacji). Przyjęło się, iż weryfikacja przed zawarciem umowy powierzenia następuje poprzez udzielenie odpowiedzi na pytania dotyczące ochrony danych osobowych w organizacji procesora. Stosowanie tzw. ankiety oceny procesora jest dobrym rozwiązaniem, gdyż pozwala zarówno na ocenę zgodności, jak i na jej udokumentowanie.

Rzadko zdarzają się natomiast osobiste wizyty audytorów administratora, składane potencjalnym podmiotom przetwarzającym w celu sprawdzenia ich zdolności do przetwarzania danych osobowych zgodnie z przepisami.

Czy audyt procesora w trakcie trwania umowy również może przyjąć formę zdalnej weryfikacji?

Przepisy nie nakazują przeprowadzenia osobistej kontroli przez przedstawicieli administratora w miejscu przetwarzania danych. Administrator może więc dokonać jej inną metodą, adekwatną do okoliczności. RODO konsekwentnie pozostaje w tym zakresie neutralne. Ważne, aby dobrane środki zapewniały rozliczalność i skuteczność podejmowanych działań.

Dokumentowanie

Administrator ma obowiązek przestrzegać przepisów RODO i być w stanie wykazać ich przestrzeganie (art. 5 ust. 2 RODO). Weryfikacja pisemna, z wykorzystaniem poczty e-mail lub z wykorzystaniem tzw. ankiet oceny procesora jest wystarczająca dla zapewnienia rozliczalności wykonania obowiązków administratora. W przypadku weryfikacji telefonicznej lub bezpośrednich audytów należy zadbać dodatkowo o udokumentowanie wykonanych czynności, np. w formie notatki lub protokołu pochodzącego od stron umowy powierzenia.


Zobacz inne artykuły Piotra Kaliny