Jak kontrolować podmiot przetwarzający?
Dlaczego trzeba kontrolować podmiot przetwarzający?
Każdy administrator powierzający przetwarzanie danych osobowych innym podmiotom zgodnie z art. 28 ust. 3 lit. h RODO, powinien, a wręcz jest zobowiązany do ich kontrolowania. Obowiązek ten wynika z faktu, że to właśnie administrator odpowiada za przestrzeganie prawa w zakresie przetwarzania danych osobowych, a zgodnie z zasadą rozliczalności musi to też wykazać. Istotne jest, że zasada ta znajduje zastosowanie do przetwarzania realizowanego samodzielnie przez administratora, jak i podmiotów, którym administrator dane powierza na podstawie umowy powierzenia przetwarzania danych.
Czy kontroli muszą dokonać pracownicy administratora?
Odpowiedź na to pytanie brzmi NIE. RODO daje administratorom dużą dowolność w doborze audytorów. Zgodnie z art. 28. Ust. 3 lit. h podmiot przetwarzający „umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich”. Tak więc administrator może przeprowadzić kontrolę we własnym zakresie, wykorzystując zasoby wewnętrzne lub zlecić tą usługę innemu podmiotowi.
Jakie obszary można kontrolować w podmiocie przetwarzającym?
Kluczowe jest, aby kontrola dotyczyła tylko i wyłącznie obszarów, w których podmiot przetwarzający przetwarza dane powierzone przez administratora. Kontrolowanie procesora w szerszym zakresie, np. pod kątem realizacji obowiązku informacyjnego względem jego pracowników, jest niezgodne z prawem.
Zgodnie z art. 28 oraz motywem 81 RODO, kontroli podlegać powinny:
- wiedza fachowa, wiarygodność i zasoby podmiotu przetwarzającego, niezbędne do prawidłowego przetwarzania powierzonych przez ADO danych osobowych,
- wdrożone w podmiocie przetwarzającym środki techniczne i organizacyjne, zapewniające spełnienie wymogów rozporządzenia i chroniące prawa osób, których dane dotyczą,
- zasady dalszego zlecenia przetwarzania danych osobowych innym podmiotom (podpowierzenie danych),
- zakres, cel i czas przetwarzania danych, który powinien być zgodny z udokumentowanym poleceniem administratora,
- przestrzeganie poufności przez wszystkie osoby biorące udział w procesie przetwarzania danych osobowych przekazanych przez administratora,
- konkretne zadania i obowiązki podmiotu przetwarzającego w kontekście przetwarzania oraz ryzyka naruszenia praw lub wolności osoby, której dane dotyczą,
- przestrzeganie zapisów zawartych w umowie powierzenia lub innym instrumencie prawnym.
Kiedy można dokonać kontroli?
Weryfikacja podmiotu przetwarzającego powinna się odbyć przed rozpoczęciem współpracy, tak aby administrator mógł wybrać podmiot zapewniający odpowiednie gwarancje w szczególności, jeśli chodzi o wiedzę fachową, wiarygodność i zasoby oraz wdrożone środki techniczne i organizacyjne, które odpowiadają wymogom RODO.
Administrator ma także prawo kontroli podmiotu przetwarzającego w całym czasie trwania umowy. Kontrole mogą być planowane lub przeprowadzane doraźnie, np. w przypadku naruszenia zasad ochrony danych osobowych.
Tak więc jak wskazano powyżej, kontrole podmiotu przetwarzającego są obowiązkowe, zaleca się, aby były przeprowadzane cyklicznie, a swym zakresem nie powinny wykraczać poza czynności związane z przetwarzaniem danych osobowych przekazanych przez administratora. Jeżeli dane powierzamy wielu podmiotom przetwarzającym, należy zastanowić się nad kwestą odpowiedniego zaplanowania kontroli, tak mieć pewność, każdy z nich przetwarza dane zgodnie umową powierzenia oraz RODO.
O Autorze
