- Email: [email protected]
- Rondo Organizacji Narodów Zjednoczonych 1, 00-124 Warszawa
Dlaczego i w jaki sposób weryfikować podmiot przetwarzający dane osobowe? Kto i w jaki sposób powinien tego dokonać? Zachęcamy do lektury materiału przygotowanego przez ekspertkę Krajowego Instytutu Cyberbezpieczeństwa – prawniczkę i szkoleniowca z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych Katarzynę Bernadettę Olszewską.
Przede wszystkim warto sobie uświadomić, iż administrator, decydując się na powierzenie przetwarzania danych osobowych innemu podmiotowi, powinien sprawdzić czy zapewnia on wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych oraz czy przetwarzanie będzie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
Administrator może, a nawet powinien kontrolować podmiot przetwarzający. Taka kontrola zawsze odbywa się jednak w zakresie danych, które są powierzane przez administratora.
Przede wszystkim jest to obowiązek administratora danych osobowych wynikający z przepisów rozporządzenia RODO, ponieważ to administrator odpowiada za bezpieczeństwo danych. W sytuacji, gdy podmiot przetwarzający nie spełni wymogów to karany jest zarówno administrator, jak i podmiot przetwarzający – w tym przypadku uwzględnia się stopień zawinienia ze strony podmiotu przetwarzającego. Wspomniane zdarzenia nie zmieniają jednak stanu rzeczy – to administrator odpowiada za działania podmiotu przetwarzającego, dlatego musi on nawiązać współpracę z firmą, która zapewni bezpieczeństwo powierzonych danych.
W trakcie wyboru podmiotu przetwarzającego warto zwrócić uwagę na fakt czy nie operujemy w branży, w której obowiązkiem jest powołanie inspektora ochrony danych osobowych. Jeśli takowy obowiązek jest, a danej firmie, z którą chcemy nawiązać współpracę go nie ma, to powinno wzbudzić naszą czujność.
Kontrola standardów w podmiocie przetwarzającym wiąże się również z faktem planu działania w sytuacji ewentualnych naruszeń danych osobowych. W przypadku wystąpienia incydentu taki podmiot ma obowiązek zgłosić nam ten fakt w ciągu 48, a najlepiej 24 godzin. Taka informacja musi wypłynąć od podmiotu przetwarzającego możliwie jak najszybciej, ponieważ administrator musi zgłosić ten incydent do Prezesa Urzędu Ochrony Danych Osobowych w ciągu 72 godzin od momentu uzyskania informacji o naruszeniu.
W jaki sposób weryfikować standardy w podmiotach przetwarzających, aby trafić na właściwe jednostki? Niektóre instytucje publiczne już w zapytaniu ofertowym wysyłają do wypełnienia specjalną ankietę, która powinna być kluczowym kryterium wyboru podwykonawcy. – W przypadku nawiązania dłuższej umowy ankieta dla podmiotu przetwarzającego powinna również być weryfikowana w trakcie współpracy w celu sprawdzenia czy procedury i standardy w danej firmie nie uległy zmianie – mówi Katarzyna Bernadetta Olszewska.
Jakie pytania powinny znaleźć się w takiej ankiecie? Kluczowe są elementy dotyczące ochrony danych osobowych:
– czy w firmie zostały wdrożone zasady przetwarzania danych osobowych?
– czy powstała i obowiązuje polityka ochrony danych osobowych?
– czy pracownicy zostali przeszkoleni z zakresie przetwarzania danych osobowych i posiadają odpowiednie uprawnienia w tym zakresie?
– czy w firmie wdrożono system zarządzania bezpieczeństwem informacji?
– czy firma działa w oparciu o normę ISO 27001?
– czy firma organizuje regularne szkolenia z zakresu danych osobowych?
– czy firma przeprowadza regularnie analizy ryzyka?
– czy w ciągu ostatniego roku w danym podmiocie miały miejsce incydenty lub było prowadzone postępowanie przez prezesa UODO?
– czy w firmie powołany został inspektor ochrony danych osobowych, a jeśli prawo tego nie wymaga – czy określono osobę odpowiedzialną za przetwarzanie danych osobowych?
– czy firma prowadzi rejestr czynności przetwarzania danych?
Weryfikacja i dobra komunikacja z podmiotem przetwarzającym powinna być standardem. Warto uświadomić sobie, że nasz podmiot przetwarzający również jest administratorem danych, ale już swoich pracowników. Innymi słowy każdy podmiot na rynku może być administratorem, jak i podmiotem przetwarzającym, w zależności od relacji, jakie łączą go z innymi firmami.
Najnowsze komentarze