Audyt podmiotu przetwarzającego
Z naszego artykułu dowiesz się: Czym jest powierzenie danych osobowych oraz co to umowa powierzenia? Jakie są obowiązki administratora przy powierzeniu przetwarzania danych osobowych? Jaki jest cel audytu podmiotu przetwarzającego? Jak przeprowadzić audyt, żeby spełnić wymagania RODO?
Czym jest powierzenie danych oraz co to umowa powierzenia?
Powierzenie przetwarzania danych osobowych to sytuacja, kiedy administrator mógłby wykonać pewne czynności sam, ale nie ma do tego np. zaplecza technologicznego lub zasobów ludzkich i w związku z tym zleca je na zewnątrz. Najczęściej do powierzenia dochodzi przy zlecaniu działań podmiotom świadczącym usługi kadrowe, księgowe, serwis IT, ochronę mienia i osób, obsługę w zakresie BHP, prowadzenie zewnętrznego archiwum czy przeprowadzanie konkursów przez agencję reklamową. Procesor (podmiot, któremu powierza się dane do przetwarzania) zawsze przetwarza dane w ramach celu określonego przez administratora. Na przykład podmiot realizujący działania windykacyjne: biuro księgowe przetwarza dane osobowe pracowników administratora, dla potrzeb realizacji stosunku pracy istniejącego pomiędzy administratorem, a jego pracownikami.
Należy jednak pamiętać, że wybór podmiotu przetwarzającego, któremu Administrator może powierzyć przetwarzanie danych jest bardzo ważną kwestią. Zgodnie z obowiązującymi wymogami prawa administrator może powierzyć przetwarzanie danych osobowych innym podmiotom, z zastrzeżeniem, że podmioty te:
- wdrożyły odpowiednie środki techniczne i organizacyjne służące ochronie danych oraz spełniają one wymogi ogólnego rozporządzenia o ochronie danych (art. 28 RODO);
- dysponują wiedzą fachową, są wiarygodne i dysponują adekwatnymi zasobami służącymi bezpieczeństwu przetwarzania (motyw 81 preambuły do RODO);
- są uprawnione do przetwarzania danych wyłącznie w zakresie celów i sposobów przetwarzania określonych przez administratora w umowie.
Istotą regulacji instytucji powierzenia przetwarzania danych osobowych jest zapewnienie powierzonym procesorom danym osobowym zewnętrznych standardów ochrony w zakresie nie niższym niż te, których prawo wymaga od administratora.
Należy pamiętać, że to administrator będzie zawsze decydował o celach i środkach przetwarzania danych osobowych.
Podstawą prawną powierzenia danych osobowych jest przede wszystkim umowa powierzenia. Elementy, które są konieczne do zawarcia w takiej umowie to:
- Zobowiązanie do zachowania tajemnicy;
- Wskazanie środków ochrony;
- Warunki korzystania z innego podmiotu przetwarzającego;
- Wsparcie w zakresie realizacji praw osób, których dane dotyczą;
- Wsparcie w realizacji obowiązków administratora;
- Zobowiązanie do zwrotu lub usunięcia kopii danych po zakończeniu współpracy;
- Prawo do przeprowadzenia audytu u podmiotu przetwarzającego.
Należy mieć na względzie, że zgodnie z art. 28 ust. 9 RODO umowa, wiążąca administratora z procesorem, powinna mieć formę pisemną, w tym formę elektroniczną.
Więcej informacji na temat umowy powierzenia można znaleźć w naszym artykule "Umowa powierzenia przetwarzania danych osobowych - wzór".
Jakie są obowiązki administratora przy powierzeniu przetwarzania danych osobowych?
Relacje między administratorem, a podmiotem przetwarzającym dane osobowe muszą być odpowiednio uregulowane i uwzględnione przez administratora w systemie ochrony danych osobowych jego organizacji.
Obowiązkiem administratora jest dopilnowanie, by korzystać z usług tylko takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje. W szczególności, jeśli chodzi o wiedzę fachową, wiarygodność i zasoby - wdrożenia środków technicznych i organizacyjnych, które odpowiadają wymogom RODO, w tym wymogom bezpieczeństwa przetwarzania i chronią prawa osób, których dotyczą (art. 28 ust. 1 RODO i motyw 81 RODO). Nieodzownym elementem nawiązania współpracy jest zatem staranna weryfikacja przed zawarciem umowy, czy potencjalny przyszły procesor daje gwarancję bezpieczeństwa przetwarzania danych osobowych i realizacji innych obowiązków wynikających z RODO, w tym czy dysponuje koniecznymi w tym celu środkami bezpieczeństwa .
Zatem zawarcie umowy powierzenia przetwarzania danych osobowych pomiędzy administratorem a podmiotem przetwarzającym, konieczne jest w celu zapewnienia odpowiedniego standardu (bezpieczeństwa) ochrony danych osobowych pozostających do dyspozycji administratora. Treść takiej umowy określa reguły powierzenia danych osobowych oraz obowiązki spoczywające na podmiocie przetwarzającym. Wprzypadku brak możliwości zalegalizowania powierzenia przetwarzania danych Administrator powinien wybrać inny podmiot przetwarzający.
Zawarcie umowy powierzenia przetwarzania danych osobowych pomiędzy administratorem, a podmiotem przetwarzającym konieczne jest również z uwagi na przewidzianą odpowiedzialność zarówno administratora, jak i procesora w przepisach RODO i ustawy 10 maja 2018 roku o ochronie danych osobowych (Dz.U. z 2018 poz. 1000). Spółka bez zawartej umowy powierzenia naraża się na zarzut przetwarzania danych bez podstawy prawnej. Ustawa z 10 maja 2018 roku o ochronie danych osobowych w art. 107 przewiduje odpowiedzialność karną za bezprawne przetwarzanie danych osobowych. Powyższy przepis wskazuje, że odpowiedzialności karnej zagrożonej grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat dwóch podlega osoba, która przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniona.
Naruszenie przepisów art. 28 RODO stanowi także przesłankę do nałożenia administracyjnej kary pieniężnej. Mowa o niej w art. 83 ust. 4 lit. a RODO, tj. kary w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2 procent jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Nie dalej niż w styczniu 2022 prezes Urzędu Ochrony Danych Osobowych nałożył 4,9 mln kary na spółkę Fortum Marketing and Sales Polska za niewdrożenie odpowiednich środków, zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu je przetwarzającego.
Jaki jest cel audytu podmiotu przetwarzającego?
W związku powyższymi informacjami administrator nie tylko powinien mieć możliwość sprawdzenia komu powierza dane osobowe oraz w jaki sposób będą one przetwarzane, ale także ma taki obowiązek. Prawo dostępu do takich informacji oraz przeprowadzania audytów przysługuje administratorowi nie tylko przed nawiązaniem współpracy, ale również w trakcie realizacji umowy powierzenia. W tym celu w art. 28 ust. 3 lit. h RODO na podmiot przetwarzający zostały nałożone obowiązki udostępniania administratorowi wszelkich informacji potwierdzających spełnienie wymogów RODO, a także umożliwienia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczyniania się do nich.
Celem audytu powinna być przede wszystkim:
- weryfikacja wdrożonych przez podmiot przetwarzający technicznych i organizacyjnych środków ochrony danych pozwalających na spełnienie wymogów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: RODO) i zapewniających odpowiedni poziom bezpieczeństwa powierzanych danych;
- weryfikacja czy podmiot przetwarzający gwarantuje osobie, której dane przetwarza w imieniu administratora, możliwość realizacji przysługujących jej praw oraz zapewnienie, że w razie wystąpienia nieprawidłowości będzie mogła efektywnie skorzystać z przysługujących jej roszczeń;
- wykazanie przez Administratora, wdrożenia mechanizmów pozwalających na wykazanie zgodność prowadzonych działań z art. 28 RODO oraz doboru podmiotu przetwarzającego, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, służących ochronie powierzonych mu danych osobowych.
Kontrole podmiotu przetwarzającego mogą być cykliczne (np. raz do roku lub raz na dwa lata), ale mogą być przeprowadzane również doraźnie np. w przypadku wystąpienia naruszenia ochrony powierzonych danych osobowych. Bardzo dobrą praktyką jest także przeprowadzanie weryfikacji przed rozpoczęciem współpracy np. w formie ankiety, która jest samooceną procesora.
Co ważne, utrudnianie lub ograniczanie administratorowi możliwości przeprowadzania kontroli u podmiotu przetwarzającego lub ograniczanie jej zakresu należałoby uznać za działanie niezgodne z RODO.
Jak przeprowadzić audyt, żeby spełnić wymagania RODO?
Mając na uwadze brzmienie art. 28 ust. 1 RODO, administrator musi wykazać, że dokonał weryfikacji podmiotu przetwarzającego. Potwierdzeniem realizacji powinien być raport z audytu lub np. wypełniona przez podmiot przetwarzający ankieta, w której deklaruje on zgodność przetwarzania z zapisami RODO oraz umowy powierzenia przetwarzania danych osobowych. Dokumentacja audytu jest niezwykle ważna ze względu na obowiązującą zasadę rozliczalności tj. zgodnie z art. 5 ust. 2 "Administrator jest odpowiedzialny za przestrzeganie przepisów i musi być w stanie wykazać ich przestrzeganie ("rozliczalność")". Zatem dowody na przeprowadzenie audytu pozwolą w przypadku jakiejkolwiek kontroli z Urzędu Ochrony Danych Osobowych na wykazanie, że administrator dopełnił obowiązków związanych z przeprowadzeniem kontroli.
Formy audytu
Przepisy prawa nie narzucają formy kontroli jaką może przeprowadzić administrator. Może mieć formę audytu fizycznego, może zostać przeprowadzony zdalnie np. w formie spotkania online, a także w formie udzielenia przez podmiot przetwarzający odpowiedzi na pytania skierowane przez administratora. Kontrola może być także połączeniem kilku form opisanych powyżej.
W ramach audytu ocenie należy poddać w szczególności:
- dokumentację systemu ochrony danych osobowych: jej zakres, wdrożenie, dystrybucję;
- sposoby uświadamiania pracowników i poszerzania ich wiedzy;
- sposób nadzoru nad systemem ochrony danych oraz monitorowania zgodności z przepisami prawa;
- sposób weryfikacji podwykonawców;
- zastosowane fizyczne środki bezpieczeństwa;
- zastosowane mechanizmy ochrony danych przetwarzanych w systemach informatycznych;
- bezpieczeństwo danych przetwarzanych w formie papierowej;
- bezpieczeństwo techniczne, konserwację i testowanie sprzętu;
- zabezpieczenie sprzętu komputerowego i urządzeń mobilnych;
- bezpieczeństwo sieciowe oraz bezpieczeństwo komunikacji;
- procedury zachowania dostępności i integralności danych (ciągłość działania);
- spełnienie innych obowiązków, nakładanych bezpośrednio przez przepisy prawa.
Audyt powinien być na tyle szczegółowy, aby administrator mógł wykazać, że weryfikacja podmiotu przetwarzającego objęła wszystkie kluczowe aspekty przetwarzania.
Co w przypadku negatywnego wyniku audytu?
W sytuacji kiedy wyniki audytu będą niezadowalające np. zostanie stwierdzonych wiele niezgodności, w tym niezgodności krytyczne, które mogą mieć wpływ na powierzonych do przetwarzania danych osobowych np. brak odpowiednich zabezpieczeń fizycznych i organizacyjnych, liczne naruszenia ochrony danych osobowych, wówczas administrator powinien rozważyć czy zasadne jest dalsze kontynuowanie współpracy z danym podmiotem.
Podsumowanie
Zawarcie pisemnej umowy powierzenia przetwarzania danych osobowych pomiędzy administratorem – a procesorem – a także przeprowadzanie weryfikacji podmiotu przetwarzającego jest konieczne, w celu zapewnienia odpowiedniego standardu ochrony danych osobowych pozostających do dyspozycji administratora. Tym samym brak spełnienia powyższych warunków, może rodzić po stronie administratora odpowiedzialność odszkodowawczą, jak również karną oraz może spowodować nałożenie kary pieniężnej przez Prezesa Urzędu Ochrony Danych Osobowych.