iSecure logo
Blog

Rekordowa kara PUODO dla administratora – a kontrola podmiotu przetwarzającego

Czy korzystasz z usług podmiotów przetwarzających? Czy przykładasz szczególną wagę do odpowiedniej weryfikacji procesorów przed powierzeniem im danych osobowych do przetwarzania? A może zlecasz kontrolę prawidłowości przetwarzania danych w trakcie współpracy?

19 stycznia br. Prezes Urzędu Ochrony Danych Osobowych (dalej: PUODO) wydał decyzję w sprawie niewdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych. Z pełną treścią decyzji. można zapoznać się pod adresem: https://www.uodo.gov.pl/decyzje/DKN.5130.2215.2020

Sprawa dotyczyła naruszenia poufności danych oraz braku weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje przetwarzania zgodnie z wymogami RODO.

O współpracy z procesorem w praktyce pisaliśmy już wcześniej – np. tutaj: https://www.isecure.pl/blog/wspolpraca-z-procesorem-w-praktyce-kilka-waznych-kwestii/ . Niestety, praktyka pokazuje, iż administratorzy nie są świadomi, że w relacji z kontrahentami dochodzi w ogóle do powierzenia danych w rozumieniu przepisów o ochronie danych osobowych. A pamiętajmy, że RODO nakłada na podmioty po obu stronach liczne obowiązki, jak również prawa. Na bazie oceny powagi sytuacji, ale też wysokości nałożonych kar powstał niniejszy artykuł, w którym skupimy się wyłącznie na uprawnieniach administratora do inspekcji podmiotu przetwarzającego, czyli sprawdzenia czy dany podmiot spełnia właściwe środki mające zapewnić zgodność przetwarzania danych z wymogami RODO.

To właśnie po stronie administratora leży obowiązek uregulowania relacji z podmiotem przetwarzającym (procesorem). Odpowiedzialność bowiem za to spoczywa na samym administratorze.

Na co powinniśmy zwrócić szczególną uwagę?

Wybór administratora w zakresie współpracy z podmiotem przetwarzającym musi być zatem dobrze przemyślany i uważny. Administrator ma odpowiednie narzędzia, które pozwolą mu zweryfikować właściwy wybór wśród potencjalnych procesorów. Niewątpliwie, umowa powierzenia, która powinna być zawarta pomiędzy administratorem i procesorem i która wskazuje przedmiot uzgodnień pomiędzy stronami, będzie jednym z takich narzędzi. Stanowi bowiem gwarancję podmiotu przetwarzającego, w zakresie wdrożenia środków technicznych i organizacyjnych zapewniających zgodność przetwarzania danych z przepisami RODO, w szczególności w zakresie bezpieczeństwa przetwarzania.

Jednak, jak faktycznie dokonać weryfikacji podmiotu przetwarzającego? W tym zakresie bez wątpienia pomocne może być uprawnienia administratora określone w art. 28 ust. 3 lit. h RODO oraz art. 28 ust. 4 RODO. W treści tego artykułu, a dokładnie art. 28 ust. 3 lit. h RODO znajdziemy informację, iż administrator ma możliwość przeprowadzenia audytu u procesora – sprawdzającego poziom zgodności z wymaganiami RODO. Co więcej, warto również zauważyć i uzupełnić tę informację o fakt, iż podmiot przetwarzający ma obowiązek polegający na udostępnianiu administratorowi wszelkich danych niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO.

Popularne staje się również regulowanie w ramach umowy powierzenia uprawnienia po stronie administratora do przeprowadzenia audytu także u subprocesorów. Tendencja do uregulowania tego zagadnienia w ramach umowy wynika prawdopodobnie z treści art. 28 ust. 4 RODO. Zgodnie z nim podmiot przetwarzający może podpowierzyć dane osobowe jedynie na podstawie umowy zawartej ze swoim podwykonawcą, której treść zapewniać będzie stosowanie przez podwykonawcę środków gwarantujących przetwarzanie zgodnie z wymogami RODO. W interesie administratora pozostaje zatem zapewnienie sobie możliwości przeprowadzenia audytu u subprocesora, w celu utrzymania pełnej kontroli nad przetwarzanymi przez niego danymi osobowymi.

Krótko o prawie audytowania

Najczęściej zadawanym pytaniem przez administratora jest budzący wątpliwość zakres przeprowadzonego audytu. Podmiot przetwarzający udostępnia administratorowi informacje niezbędne do wykazania spełnienia obowiązków wynikających z przepisu art. 28 ust. 2, 3 i 4 RODO. Audyt procesora może zatem dotyczyć następujących informacji:

  • Czy podmiot przetwarzający korzysta z podwykonawców przetwarzających dane powierzone przez administratora na zasadach określonych pomiędzy stronami oraz zgodnie z art. 28 ust. 2 i 4? (w szczególności czy umowy podpisywane z podwykonawcami w sposób odpowiedni regulują kwestie związane z przetwarzaniem danych administratora)?
  • Czy podmiot przetwarzający wdrożył odpowiednie środki techniczne i organizacyjne, które umożliwiają procesorowi wsparcie administratora w odpowiadaniu na żądania osób, których dane dotyczą, w zakresie realizacji ich praw wynikających z RODO?
  • Czy osoby biorące udział przy przetwarzaniu zostały zobowiązane do zachowania tajemnicy?
  • Czy podmiot przetwarzający wdrożył mechanizmy/procedury, umożliwiające bezzwłoczne zgłoszenie naruszenia bezpieczeństwa danych osobowych?
  • Czy dane nie są przekazywane przez podmiot przetwarzający do państw trzecich?

Mając na względzie obowiązek administratora wynikający z art. 28 ust. 1 RODO, nie bez znaczenia powinny również pozostawać następujące informacje:

  • Czy podmiot przetwarzający stosuje fizyczne zabezpieczenia pomieszczeń/obszarów przetwarzania danych osobowych przed dostępem osób nieuprawnionych?
  • Czy podmiot przetwarzający nadaje upoważnienia do przetwarzania danych osobowych?
  • Czy podmiot przetwarzający prowadzi dokumentacje ochrony danych osobowych?
  • Czy podmiot przetwarzający prowadzi rejestr kategorii czynności przetwarzania?
  • Czy podmiot przetwarzający powołał inspektora ochrony danych?

Powyższe, wskazuje w jaki sposób i w jakim zakresie można dokonać sprawdzenia procesora. RODO jednak nie wskazuje wprost w jaki sposób administrator ma wykazać spełnienie tego wymogu. Administrator powinien zatem podejmować takie działania, które pozwolą mu na uwierzytelnienie sprawdzenia procesora. Bowiem w przypadku kontroli ze strony organu nadzorczego, administrator musi wykazać, że dokonał dobrego wyboru podmiotu przetwarzającego, zapewniającego bezpieczeństwo danych osobowych. W tym wypadku, przywołanym dowodem może być raport z przeprowadzonych czynności audytowych czy kwestionariusz weryfikacyjny wypełniony przez procesora, dający gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniających bezpieczeństwo przetwarzanych danych.

Administrator, w stosowanej formie sprawdzenia, powinien dokonać oceny poszczególnych środków zapewniających bezpieczeństwo przetwarzania danych według ustalonych kryteriów przyjętych np. w procedurze weryfikacji podmiotu przetwarzającego (tj. zgodność / częściowa zgodność / niezgodność).

Przepisy RODO, nie wskazują również terminu na przeprowadzenie weryfikacji podmiotu przetwarzającego. Wydaje się jednak niezbędnym, że sprawdzenie podmiotu przetwarzającego powinno nastąpić w pierwszej kolejności przed podpisaniem umowy powierzenia oraz faktycznym przekazaniem danych przez administratora. Ale to nie wszystko – weryfikacja podmiotu przetwarzającego powinna mieć miejsce również w trakcie trwania współpracy. Administrator powinien bowiem zawsze posiadać aktualne informacje na temat środków bezpieczeństwa wykorzystywanych przy przetwarzaniu danych osobowych, którego w jego imieniu dokonuje podmiot zewnętrzny. Tylko takie działanie należy uznać, za zapewniające spełnienie przez administratora obowiązku wynikającego z art. 28 ust. 1 RODO.

Podsumowując, administrator danych powinien przykładać szczególną wagę do odpowiedniej weryfikacji procesorów przed powierzeniem im danych osobowych do przetwarzania, a także bieżącego kontrolowania prawidłowości przetwarzania danych w trakcie współpracy. Pamiętajmy, że jeżeli administrator nie dysponuje wystraczającą wiedzą w zakresie RODO, zasobami kadrowymi oraz czasowymi może skorzystać z wyspecjalizowanych podmiotów zewnętrznych. Z art. 28 ust. 3 lit. h RODO wprost bowiem wynika, że podmiot przetwarzający ma umożliwić audyt administratorowi lub audytorowi upoważnionemu przez administratora. Brak jest zatem przeciwskazań, aby w tym zakresie, administrator mógł skorzystać z podmiotów zewnętrznych specjalizujących się w prowadzeniu działań audytowych.

Pobierz wpis w wersji pdf

Podobne wpisy:

Czy aplikacja chatbot wymaga od administratora podpisania umowy powierzenia przetwarzania danych osobowych?

Aplikacja chatbot staje się nieodłączonym elementem nowoczesnej strony internetowej. Właściciele witryn internetowych chcą być wobec swoich klientów jak najbardziej transparentni i pragną umożliwić nieograniczone możliwości kontaktu. Dlatego też na zainstalowanie chatbota decydują się przede wszystkim sklepy internetowe, przewoźnicy transportujący przesyłki czy hotele. Jakie konsekwencje wobec administratorów wiążą się z wdrożeniem rozwiązania chatbota na stronie internetowej […]

Fuzje i przejęcia – jak przeprowadzić ten proces zgodnie z RODO?

Przeprowadzone w 2019 r. przez Euromoney Thought Leadership Consulting badanie ponad 500 praktyków zajmujących się fuzjami i przejęciami w Europie, na Bliskim Wschodzie i w Afryce (EMEA) wykazało, że ogólne rozporządzenie o ochronie danych (RODO) miało znaczący wpływ na proces fuzji i przejęć wielu organizacji. 55% ankietowanych praktyków zajmujących się fuzjami i przejęciami potwierdziło, że […]

Dane osobowe w sklepie stacjonarnym – jak je chronić?

Ochrona danych osobowych w sklepie stacjonarnym jest istotnym aspektem, szczególnie w kontekście przestrzegania przepisów ogólnego rozporządzenia o ochronie danych osobowych (RODO). Zdecydowana większość poradników skupia się na zabezpieczeniu danych osobowych w środowisku cyfrowym co powoduje, że zapominamy, że dużą część danych przetwarzamy w formie tradycyjnej. Oto kilka kroków, które pomogą Ci chronić dane osobowe w […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki