Administrator danych osobowych (Bank) zgodnie z art. 28 ust. 1 RODO powinien:
korzystać wyłącznie z usług podmiotów, które zapewniają
wystarczające gwarancje wdrożenia odpowiednich środków
technicznych i organizacyjnych, by przetwarzanie spełniało wymogi
RODO i chroniło prawa osób, których dane dotyczą.
Z kolei zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO),
Bank jest odpowiedzialny za przestrzeganie przepisów prawa
i musi być w stanie wykazać ich przestrzeganie.
Istotnym jest, że zasada ta ma zastosowanie wobec samodzielnego, jak i realizowanego przez podmiot przetwarzający przetwarzania danych.
Należy zatem uznać, że wybór podmiotu przetwarzającego jest kluczowym elementem w przypadku powierzenia przetwarzania danych, których Administratorem jest Bank. Na Banku spoczywa odpowiedzialność za wybór właściwego kontrahenta, który zapewnia wystarczające gwarancje – w szczególności jeżeli chodzi o:
- wiedzę fachową,
- wiarygodność
- i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom RODO.
Zgodnie z art. 28 ust. 3 lit. h RODO podmiot przetwarzający zobowiązany jest do udostępniania ADO wszelkich informacji niezbędnych w zakresie spełnienia obowiązków wynikających z RODO, stanowiących o bezpieczeństwie przetwarzania danych oraz umożliwienia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczyniania się do nich.
W związku z tym, że przepisy RODO nie wskazują w jaki sposób ADO ma wykazać spełnienie obowiązku wynikającego z art. 28 ust 1 RODO, zasadnym wydaje się podejmowanie działań, które wykażą, przy ewentualnej kontroli UODO, że administrator dokonał wyboru podmiotu przetwarzającego, zapewniającego bezpieczeństwo przetwarzanych danych osobowych.
W przypadku audytu podmiotu przetwarzającego, przywołanym dowodem może być raport z przeprowadzonych czynności audytowych. Audyt nie jest jedyną formą weryfikacji podmiotu przetwarzającego, należy jednak zwrócić uwagę, aby zawartość dokumentu stanowiącego dowód z przeprowadzonej weryfikacji pozwalała administratorowi na uzyskanie szczegółowych informacji dotyczących stosowanych przez podmiot przetwarzający środków technicznych i organizacyjnych, zapewniających zgodność z przepisami RODO. Sprawdzeniem objęte powinny być zagadnienia wskazane w art. 28 ust 1-4 RODO.
Przepisy RODO nie wskazują konkretnego terminu wykonania weryfikacji podmiotu przetwarzającego, wydaje się jednak zasadnym uznanie, że ocena powinna nastąpić przed przekazaniem danych osobowych do przetwarzania innemu podmiotowi.
Warto zwrócić uwagę, że Administrator powinien stale weryfikować
i doskonalić proces przetwarzania danych osobowych,
zatem analiza przetwarzania przez podmioty przetwarzające
powinna być również wykonywana cyklicznie.
Jeżeli Państwa pracownicy odpowiedzialni za ochronę danych osobowych potrzebują wsparcia, zapraszamy do kontaktu z naszymi ekspertami. Zapewniamy doradztwo dla Inspektorów Danych Osobowych w różnych formach, w zależności od posiadanej wiedzy.
Nasz ekspert, Anna Stręk, udzieli wyczerpujących informacji – zapraszamy do kontaktu: +48 781 555 025 anna.strek@servus-comp.pl
Dodaj komentarz
Musisz się zalogować, aby móc dodać komentarz.