iSecure logo
Blog

Rekordowa kara PUODO dla administratora – a kontrola podmiotu przetwarzającego

Czy korzystasz z usług podmiotów przetwarzających? Czy przykładasz szczególną wagę do odpowiedniej weryfikacji procesorów przed powierzeniem im danych osobowych do przetwarzania? A może zlecasz kontrolę prawidłowości przetwarzania danych w trakcie współpracy?

19 stycznia br. Prezes Urzędu Ochrony Danych Osobowych (dalej: PUODO) wydał decyzję w sprawie niewdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych. Z pełną treścią decyzji. można zapoznać się pod adresem: https://www.uodo.gov.pl/decyzje/DKN.5130.2215.2020

Sprawa dotyczyła naruszenia poufności danych oraz braku weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje przetwarzania zgodnie z wymogami RODO.

O współpracy z procesorem w praktyce pisaliśmy już wcześniej – np. tutaj: https://www.isecure.pl/blog/wspolpraca-z-procesorem-w-praktyce-kilka-waznych-kwestii/ . Niestety, praktyka pokazuje, iż administratorzy nie są świadomi, że w relacji z kontrahentami dochodzi w ogóle do powierzenia danych w rozumieniu przepisów o ochronie danych osobowych. A pamiętajmy, że RODO nakłada na podmioty po obu stronach liczne obowiązki, jak również prawa. Na bazie oceny powagi sytuacji, ale też wysokości nałożonych kar powstał niniejszy artykuł, w którym skupimy się wyłącznie na uprawnieniach administratora do inspekcji podmiotu przetwarzającego, czyli sprawdzenia czy dany podmiot spełnia właściwe środki mające zapewnić zgodność przetwarzania danych z wymogami RODO.

To właśnie po stronie administratora leży obowiązek uregulowania relacji z podmiotem przetwarzającym (procesorem). Odpowiedzialność bowiem za to spoczywa na samym administratorze.

Na co powinniśmy zwrócić szczególną uwagę?

Wybór administratora w zakresie współpracy z podmiotem przetwarzającym musi być zatem dobrze przemyślany i uważny. Administrator ma odpowiednie narzędzia, które pozwolą mu zweryfikować właściwy wybór wśród potencjalnych procesorów. Niewątpliwie, umowa powierzenia, która powinna być zawarta pomiędzy administratorem i procesorem i która wskazuje przedmiot uzgodnień pomiędzy stronami, będzie jednym z takich narzędzi. Stanowi bowiem gwarancję podmiotu przetwarzającego, w zakresie wdrożenia środków technicznych i organizacyjnych zapewniających zgodność przetwarzania danych z przepisami RODO, w szczególności w zakresie bezpieczeństwa przetwarzania.

Jednak, jak faktycznie dokonać weryfikacji podmiotu przetwarzającego? W tym zakresie bez wątpienia pomocne może być uprawnienia administratora określone w art. 28 ust. 3 lit. h RODO oraz art. 28 ust. 4 RODO. W treści tego artykułu, a dokładnie art. 28 ust. 3 lit. h RODO znajdziemy informację, iż administrator ma możliwość przeprowadzenia audytu u procesora – sprawdzającego poziom zgodności z wymaganiami RODO. Co więcej, warto również zauważyć i uzupełnić tę informację o fakt, iż podmiot przetwarzający ma obowiązek polegający na udostępnianiu administratorowi wszelkich danych niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO.

Popularne staje się również regulowanie w ramach umowy powierzenia uprawnienia po stronie administratora do przeprowadzenia audytu także u subprocesorów. Tendencja do uregulowania tego zagadnienia w ramach umowy wynika prawdopodobnie z treści art. 28 ust. 4 RODO. Zgodnie z nim podmiot przetwarzający może podpowierzyć dane osobowe jedynie na podstawie umowy zawartej ze swoim podwykonawcą, której treść zapewniać będzie stosowanie przez podwykonawcę środków gwarantujących przetwarzanie zgodnie z wymogami RODO. W interesie administratora pozostaje zatem zapewnienie sobie możliwości przeprowadzenia audytu u subprocesora, w celu utrzymania pełnej kontroli nad przetwarzanymi przez niego danymi osobowymi.

Krótko o prawie audytowania

Najczęściej zadawanym pytaniem przez administratora jest budzący wątpliwość zakres przeprowadzonego audytu. Podmiot przetwarzający udostępnia administratorowi informacje niezbędne do wykazania spełnienia obowiązków wynikających z przepisu art. 28 ust. 2, 3 i 4 RODO. Sprawdzenie może zatem dotyczyć następujących informacji:

  • Czy podmiot przetwarzający korzysta z podwykonawców przetwarzających dane powierzone przez administratora na zasadach określonych pomiędzy stronami oraz zgodnie z art. 28 ust. 2 i 4? (w szczególności czy umowy podpisywane z podwykonawcami w sposób odpowiedni regulują kwestie związane z przetwarzaniem danych administratora)?
  • Czy podmiot przetwarzający wdrożył odpowiednie środki techniczne i organizacyjne, które umożliwiają procesorowi wsparcie administratora w odpowiadaniu na żądania osób, których dane dotyczą, w zakresie realizacji ich praw wynikających z RODO?
  • Czy osoby biorące udział przy przetwarzaniu zostały zobowiązane do zachowania tajemnicy?
  • Czy podmiot przetwarzający wdrożył mechanizmy/procedury, umożliwiające bezzwłoczne zgłoszenie naruszenia bezpieczeństwa danych osobowych?
  • Czy dane nie są przekazywane przez podmiot przetwarzający do państw trzecich?

Mając na względzie obowiązek administratora wynikający z art. 28 ust. 1 RODO, nie bez znaczenia powinny również pozostawać następujące informacje:

  • Czy podmiot przetwarzający stosuje fizyczne zabezpieczenia pomieszczeń/obszarów przetwarzania danych osobowych przed dostępem osób nieuprawnionych?
  • Czy podmiot przetwarzający nadaje upoważnienia do przetwarzania danych osobowych?
  • Czy podmiot przetwarzający prowadzi dokumentacje ochrony danych osobowych?
  • Czy podmiot przetwarzający prowadzi rejestr kategorii czynności przetwarzania?
  • Czy podmiot przetwarzający powołał inspektora ochrony danych?

Powyższe, wskazuje w jaki sposób i w jakim zakresie można dokonać sprawdzenia procesora. RODO jednak nie wskazuje wprost w jaki sposób administrator ma wykazać spełnienie tego wymogu. Administrator powinien zatem podejmować takie działania, które pozwolą mu na uwierzytelnienie sprawdzenia procesora. Bowiem w przypadku kontroli ze strony organu nadzorczego, administrator musi wykazać, że dokonał dobrego wyboru podmiotu przetwarzającego, zapewniającego bezpieczeństwo danych osobowych. W tym wypadku, przywołanym dowodem może być raport z przeprowadzonych czynności audytowych czy kwestionariusz weryfikacyjny wypełniony przez procesora, dający gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniających bezpieczeństwo przetwarzanych danych.

Administrator, w stosowanej formie sprawdzenia, powinien dokonać oceny poszczególnych środków zapewniających bezpieczeństwo przetwarzania danych według ustalonych kryteriów przyjętych np. w procedurze weryfikacji podmiotu przetwarzającego (tj. zgodność / częściowa zgodność / niezgodność).

Przepisy RODO, nie wskazują również terminu na przeprowadzenie weryfikacji podmiotu przetwarzającego. Wydaje się jednak niezbędnym, że sprawdzenie podmiotu przetwarzającego powinno nastąpić w pierwszej kolejności przed podpisaniem umowy powierzenia oraz faktycznym przekazaniem danych przez administratora. Ale to nie wszystko – weryfikacja podmiotu przetwarzającego powinna mieć miejsce również w trakcie trwania współpracy. Administrator powinien bowiem zawsze posiadać aktualne informacje na temat środków bezpieczeństwa wykorzystywanych przy przetwarzaniu danych osobowych, którego w jego imieniu dokonuje podmiot zewnętrzny. Tylko takie działanie należy uznać, za zapewniające spełnienie przez administratora obowiązku wynikającego z art. 28 ust. 1 RODO.

Podsumowując, administrator danych powinien przykładać szczególną wagę do odpowiedniej weryfikacji procesorów przed powierzeniem im danych osobowych do przetwarzania, a także bieżącego kontrolowania prawidłowości przetwarzania danych w trakcie współpracy. Pamiętajmy, że jeżeli administrator nie dysponuje wystraczającą wiedzą w zakresie RODO, zasobami kadrowymi oraz czasowymi może skorzystać z wyspecjalizowanych podmiotów zewnętrznych. Z art. 28 ust. 3 lit. h RODO wprost bowiem wynika, że podmiot przetwarzający ma umożliwić audyt administratorowi lub audytorowi upoważnionemu przez administratora. Brak jest zatem przeciwskazań, aby w tym zakresie, administrator mógł skorzystać z podmiotów zewnętrznych specjalizujących się w prowadzeniu działań audytowych.

Pobierz wpis w wersji pdf

Podobne wpisy:

Pomoc humanitarna dla obywatelek i obywateli Ukrainy a RODO

W związku z toczącą się wojną w Ukrainie pojawiło się bardzo wiele fantastycznych osób, chcących pomóc obywatelkom i obywatelom tego kraju, w tym tak dla nich trudnym czasie. Zrodziło się pytanie, jak tę pomoc uregulować pod kontem przetwarzania danych osobowych, aby była ona zgodna z prawem, a zarazem, aby to prawo nie utrudniało możliwości jej […]

Czy jest czego obawiać się odnośnie dyrektywy o Sygnalistach?

Wstęp Na samym początku, by lepiej zrozumieć całą tematykę, należy przybliżyć podstawowe kwestie dotyczące dyrektywy Parlamentu Europejskiego i Rady (UE) z dnia 16 grudnia 2019 r. w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii Europejskiej. Dyrektywa, którą przyjęło się nazywać dyrektywą o sygnalistach dopuszcza, by „sygnaliści” za pomocą różnych kanałów mogli dokonywać zgłoszeń. Przewiduje […]

Dzień z życia IOD-y – fabularyzowany opis obsługi incydentu – wszelkie podobieństwa do osób/klientów/niepotrzebne skreślić przypadkowe ;-)

I znowu mamy poniedziałek. W dodatku poniedziałek po długim weekendzie. Bajka…. Już z samego rana wszystkim IOD towarzyszy myśl, czy będzie to bajka, w której będzie nam towarzyszyć armia dobrych wróżek oraz krasnoludków (wiadomo – im większy zespół, tym więcej rąk do pracy), czy raczej zjawi się zła królowa, chcąca wcisnąć nam zatrute jabłko. Najważniejsze […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki