Przestrogą, aby nie zaniedbywać weryfikacji podmiotu przetwarzającego dane osobowe, jest rekordowa kara, która została nałożona przez Prezesa Urzędu Ochrony Danych Osobowych, wynosząca ponad 4,9 mln zł.
Już na samym początku pojawiają się wątpliwości, czy ten proces powinien się zacząć przed rozpoczęciem współpracy, czy weryfikacji należy dokonać w momencie rozpoczęcia współpracy. Jak można zauważyć, to UODO zwróciło uwagę, że przed zawarciem umowy powierzenia, a tak naprawdę przed rozpoczęciem współpracy, podmiot przetwarzający powinien zostać zweryfikowany przez potencjalnego zleceniodawcę, który będzie powierzał dane osobowe, które posiada. Z punktu widzenia podmiotu przetwarzającego weryfikacja przed rozpoczęciem współpracy jest problematyczna, ponieważ pojawiają się kwestie bezpieczeństwa w zakresie szczegółowości udzielania odpowiedzi na zadane pytania przygotowane przez potencjalnego zleceniodawcę. Nie można zapomnieć, że podmioty powinny posiadać odpowiednie zabezpieczenia, a co za tym idzie, każdy podmiot sam ocenia funkcjonalność i odpowiedniość wybranych narzędzi w swojej organizacji. Zwracając uwagę na sam fakt ankiety, trzeba pamiętać, że organ nie przygotował wzorcowej ankiety, którą administrator danych powinien przesłać do potencjalnego podmiotu przetwarzającego. Z tego powodu w praktyce można spotkać się z tym, że od tego samego typu zleceniodawcy można dostać zupełnie różne ankiety. Niektóre zawierają kilka pytań, inne kilkadziesiąt, niektóre dają możliwość udzielenia odpowiedzi: „Tak”, „Nie”, „Nie dotyczy”, a inne wymagają udzielania opisowych odpowiedzi wraz z przesłaniem odpowiednich dokumentów czy też procedur wewnętrznych, które pozwolą na dokonanie rzetelnej weryfikacji. Niestety, patrząc na praktykę, trzeba przyznać, że nie można stwierdzić jednoznacznie, iż jedna ankieta jest lepsza, a inna gorsza. Nie można zapominać o fakcie, że weryfikacja powinna być przeprowadzona w sposób rzetelny i uwzględniać stan faktyczny.
Za dobrą praktykę należy uznać, że podczas przeprowadzania postępowania czy też zapytania ofertowego do potencjalnych współpracowników zostaje wysłana ankieta mająca na celu dokonanie weryfikacji podmiotu jako podmiotu przetwarzającego. Standardowe pytania, które powinny się pojawić, a z którymi nie powinien mieć problemu podmiot przetwarzający, to np.:
Wymienione przykładowe pytania mają na celu zobrazować zleceniodawcy, czy podmiot, z którym chce zawrzeć umowę, wykazuje jakąkolwiek świadomość z zakresu obszaru ochrony danych osobowych.
Podmiot przetwarzający powinien udzielić odpowiedzi w sposób rzetelny i szczery. Niejednokrotnie można się spotkać z tym, że w ankiecie występują całkiem inne dane niż pokazuje stan faktyczny podczas audytu. Nie można też zapominać, że ankieta w sytuacjach spornych będzie dokumentem, do którego jedna ze stron będzie się odnosiła.
Podmiot przetwarzający, jeśli otrzyma pytania, które w jego ocenie będą naruszać tajemnicę przedsiębiorstwa czy też będą w sposób zbyt szczegółowy weryfikować systemy, które zostały wdrożone w podmiocie, powinien taką sytuację wyjaśnić czy też udzielić odpowiedzi na przykład bez podawania konkretnych systemów IT, które zostały wdrożone. Jak już wcześniej wspomniano, to pytania przykładowe powinny prowadzić do szczegółowych z uwzględnieniem specyfiki współpracy. Ta kwestia też powinna być ważna dla podmiotu przetwarzającego z punktu widzenia współpracy, jak też potencjalnych kontroli. Im więcej zostanie wyjaśnione, zweryfikowane przed rozpoczęciem współpracy, tym mniej będzie sytuacji sprzecznych w momencie powierzenia przetwarzania danych. Należy pamiętać, że podmiot przetwarzający udzielający odpowiedzi na pytania nie tylko powinien odpowiadać zgodnie ze stanem faktycznym, ale powinien również posiadać dokumentację, która pozwoli mu wykazać, iż faktycznie jest tak, jak twierdzi. Podmiot przetwarzający zgodnie ze stanowiskiem Prezesa UODO powinien przeprowadzić analizę ryzyka wdrożenia takiego rozwiązania i przygotować szczegółowy plan zabezpieczenia wykonywanych operacji. Jest to dość ważne nie tylko z punktu widzenia administratora danych osobowych, ale także podmiotu przetwarzającego. Działania te mają na celu wykazanie rzetelności i profesjonalnego podejścia przez podmiot przetwarzający. Na tym etapie możliwe jest skorygowanie oraz wprowadzenie poprawek, jeśli podczas przeprowadzania analizy ryzyka wyjdą podatności, które należy wdrożyć w celu mitygacji wystąpienia naruszenia przetwarzania danych w tej czynności.
Audyt procesora podczas trwania umowy
Jak można się domyślić, ankieta to pierwszy etap weryfikacji procesora. Kolejnym etapem jest weryfikacja podczas trwania umowy. Trzeba pamiętać o stanowisku UODO, zgodnie z którym: „Możliwość przeprowadzenia takich audytów, w tym inspekcji, wynika z art. 28 ust. 3 lit. h) rozporządzenia 2016/679, stosownie do którego, umowa powierzenia przetwarzania danych osobowych ma stanowić, że podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. Przepis ten daje zatem administratorowi pewne narzędzia, korzystanie, z których może zapewnić, że proces przetwarzania danych podlegających powierzeniu będzie zgodny z przepisami rozporządzenia 2016/679, a administrator uniknie odpowiedzialności za ich naruszenie” (zob. decyzja Prezesa UODO z 19.01.2022 r., DKN.5130.2215.2020). Należy zwrócić uwagę, iż UODO zaznacza, że przeprowadzanie audytów podczas trwania umowy jest jednym z kluczowych środków bezpieczeństwa, które może, a nawet powinien wykorzystywać administrator danych osobowych. Działania podejmowane przez administratora danych osobowych mają na celu posiadanie rzetelnej i aktualnej wiedzy na temat powierzonego procesu przetwarzania danych osobowych, ale również o samym podmiocie, który ten proces realizuje w jego imieniu i na jego rzecz.
Z punktu widzenia podmiotu przetwarzającego audyty te są dość uciążliwe i problematyczne, gdyż zazwyczaj nie świadczy on usług tylko dla jednego podmiotu, lecz dla większej liczby podmiotów. Kwestie te powinny zostać uregulowane w umowie powierzenia przetwarzania danych osobowych w taki sposób, aby nie budziły żadnych wątpliwości. Dlatego podmiot przetwarzający powinien każdorazowo uwzględniać zakres, czas, gotowość do przeprowadzenia audytu w umowie powierzenia. Sam zakres powinien dotyczyć jedynie tych kwestii, które odnoszą się do powierzonego procesu przetwarzania danych, i nie powinien wykraczać poza osoby, które pracują przy tym konkretnym projekcie/powierzeniu. Podmiot przetwarzający powinien też posiadać wiedzę z przeprowadzonego audytu oraz możliwość ustosunkowania się co do zaleceń z niego wynikających.
Zakończenie umowy – weryfikacja
Weryfikacja przy zakończeniu umowy to etap, o którym nie wszyscy pamiętają, a który wydaje się kluczowy w zakresie przetwarzania danych osobowych powierzonych do przetwarzania. Umowa dobiega końca, podmiot przetwarzający posiada dane osobowe, w tym kopie, które należą do administratora danych osobowych, i nie wie, co powinien z nimi zrobić. Patrząc na praktykę stosowaną w dzisiejszych umowach powierzenia przetwarzania danych osobowych, pojawiają się dwie możliwe ścieżki działania. Z popularnego zapisu znajdującego się w umowie powierzenia należy wnioskować, że podmiot przetwarzający powinien oczekiwać informacji od administratora danych osobowych, czy powinien on zwrócić wszelkie powierzone dane osobowe oraz ich kopie, czy też powinien usunąć je zgodnie z terminem przewidzianym w umowie. Niestety, wielokrotnie strony zapominają o tym zapisie i pojawia się sytuacja, gdy podmiot przetwarzający nie pamięta, że dane powierzone od tego procesora są nadal w jego posiadaniu, a administrator danych osobowych nie pamięta, że procesor nadal posiada powierzone do przetwarzania dane osobowe. Praktyka pokazuje, że zapis dotyczący usunięcia danych powierzonych do przetwarzania oraz ich kopii jest o bezpieczniejszy dla stron, gdyż nie trzeba pamiętać, żeby pod koniec obowiązywania umowy podejmować decyzję co do zwrócenia czy też usunięcia tych danych.
Praktyczne wskazówki dla procesorów:
1)posiadanie ankiety przed rozpoczęciem współpracy w zakresie wypełniania wymogów RODO:
Podsumowanie
Temat dotyczący weryfikacji procesora jest bardzo złożony i każdorazowo powinien być dokonywany zgodnie ze stanem faktycznym. Z punktu widzenia stron wszelkie kwestie wątpliwe powinny zostać ustalone na etapie podpisywania umowy powierzenia przetwarzania danych osobowych, by w sytuacjach krytycznych, takich jak naruszenie ochrony danych osobowych czy też kontroli UODO nic nie budziło wątpliwości, a zasady współpracy były jasne i transparentne. Dodatkowo należy pamiętać, by podmiot przetwarzający sam dokumentował i przeprowadzał weryfikacje systemów przetwarzających dane osobowe i wykorzystywanych systemów służących do zabezpieczania organizacji w sieci, cały czas posiadał aktualną wiedzę w tym zakresie, a dodatkowo poddawał się niezależnej weryfikacji ze strony zleceniobiorców, którzy są administratorami danych osobowych.
Autor:
