POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH – CZY WARTO WERYFIKOWAĆ PODMIOTY ZEWNĘTRZNE?

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

Administrator danych osobowych (Bank) zgodnie z art. 28 ust. 1 RODO powinien:

 

korzystać wyłącznie z usług podmiotów, które zapewniają

wystarczające gwarancje wdrożenia odpowiednich środków

technicznych i organizacyjnych, by przetwarzanie spełniało wymogi

RODO i chroniło prawa osób, których dane dotyczą.

 

Z kolei zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO),

Bank jest odpowiedzialny za przestrzeganie przepisów prawa

i musi być w stanie wykazać ich przestrzeganie.

Istotnym jest, że zasada ta ma zastosowanie wobec samodzielnego, jak i realizowanego przez podmiot przetwarzający przetwarzania danych.

Należy zatem uznać, że wybór podmiotu przetwarzającego jest kluczowym elementem w przypadku powierzenia przetwarzania danych, których Administratorem jest Bank. Na Banku spoczywa odpowiedzialność za wybór właściwego kontrahenta, który zapewnia wystarczające gwarancje – w szczególności jeżeli chodzi o:

  • wiedzę fachową,
  • wiarygodność
  • i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom RODO.

Zgodnie z art. 28 ust. 3 lit. h RODO podmiot przetwarzający zobowiązany jest do udostępniania ADO wszelkich informacji niezbędnych w zakresie spełnienia obowiązków wynikających z RODO, stanowiących o bezpieczeństwie przetwarzania danych oraz umożliwienia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczyniania się do nich.  

W związku z tym, że przepisy RODO nie wskazują w jaki sposób ADO ma wykazać spełnienie obowiązku wynikającego z art. 28 ust 1 RODO, zasadnym wydaje się podejmowanie działań, które wykażą, przy ewentualnej kontroli UODO, że administrator dokonał wyboru podmiotu przetwarzającego, zapewniającego bezpieczeństwo przetwarzanych danych osobowych. 
W przypadku audytu podmiotu przetwarzającego, przywołanym dowodem może być raport z przeprowadzonych czynności audytowych. Audyt nie jest jedyną formą weryfikacji podmiotu przetwarzającego, należy jednak zwrócić uwagę, aby zawartość dokumentu stanowiącego dowód z przeprowadzonej weryfikacji pozwalała administratorowi na uzyskanie szczegółowych informacji dotyczących stosowanych przez podmiot przetwarzający środków technicznych i organizacyjnych, zapewniających zgodność z przepisami RODO. Sprawdzeniem objęte powinny być zagadnienia wskazane w art. 28 ust 1-4 RODO.

Przepisy RODO nie wskazują konkretnego terminu wykonania weryfikacji podmiotu przetwarzającego, wydaje się jednak zasadnym uznanie, że ocena powinna nastąpić przed przekazaniem danych osobowych do przetwarzania innemu podmiotowi.

Warto zwrócić uwagę, że Administrator powinien stale weryfikować

i doskonalić proces przetwarzania danych osobowych,

zatem  analiza przetwarzania przez podmioty przetwarzające

powinna być również wykonywana cyklicznie.

 

Jeżeli Państwa pracownicy odpowiedzialni za ochronę danych osobowych potrzebują wsparcia, zapraszamy do kontaktu z naszymi ekspertami. Zapewniamy doradztwo dla Inspektorów Danych Osobowych w różnych formach, w zależności od posiadanej wiedzy.

Nasz ekspert, Anna Stręk, udzieli wyczerpujących informacji – zapraszamy do kontaktu: +48 781 555 025 anna.strek@servus-comp.pl

Zapraszamy do kontaktu. Chętnie odpowiemy na każde pytanie.
Servus Comp Data Security, Świętokrzyska 12/403,  30-015 Kraków  
tel.  +48 608 407 668, +48 12 631 91 22   biuro@servus-comp.pl
PODEJMIEMY DLA PAŃSTWA KAŻDE WYZWANIE!

Dodaj komentarz