Jak kontrolować podmiot przetwarzający?

Dlaczego trzeba kontrolować podmiot przetwarzający?

Każdy administrator powierzający przetwarzanie danych osobowych innym podmiotom zgodnie z art. 28 ust. 3 lit. h RODO, powinien, a wręcz jest zobowiązany do ich kontrolowania. Obowiązek ten wynika z faktu, że to właśnie administrator odpowiada za przestrzeganie prawa w zakresie przetwarzania danych osobowych, a zgodnie z zasadą rozliczalności musi to też wykazać. Istotne jest, że zasada ta znajduje zastosowanie do przetwarzania realizowanego samodzielnie przez administratora, jak i podmiotów, którym administrator dane powierza na podstawie umowy powierzenia przetwarzania danych.

Czy kontroli muszą dokonać pracownicy administratora?

Odpowiedź na to pytanie brzmi NIE. RODO daje administratorom dużą dowolność w doborze audytorów. Zgodnie z art. 28. Ust. 3 lit. h podmiot przetwarzający „umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich”. Tak więc administrator może przeprowadzić kontrolę we własnym zakresie, wykorzystując zasoby wewnętrzne lub zlecić tą usługę innemu podmiotowi.

Jakie obszary można kontrolować w podmiocie przetwarzającym?

Kluczowe jest, aby kontrola dotyczyła tylko i wyłącznie obszarów, w których podmiot przetwarzający przetwarza dane powierzone przez administratora. Kontrolowanie procesora w szerszym zakresie, np. pod kątem realizacji obowiązku informacyjnego względem jego pracowników, jest niezgodne z prawem.

Podmiot przetwarzający

Zgodnie z art. 28 oraz motywem 81 RODO, kontroli podlegać powinny:

  • wiedza fachowa, wiarygodność i zasoby podmiotu przetwarzającego, niezbędne do prawidłowego przetwarzania powierzonych przez ADO danych osobowych,
  • wdrożone w podmiocie przetwarzającym środki techniczne i organizacyjne, zapewniające spełnienie wymogów rozporządzenia i chroniące prawa osób, których dane dotyczą,
  • zasady dalszego zlecenia przetwarzania danych osobowych innym podmiotom (podpowierzenie danych),
  • zakres, cel i czas przetwarzania danych, który powinien być zgodny z udokumentowanym poleceniem administratora,
  • przestrzeganie poufności przez wszystkie osoby biorące udział w procesie przetwarzania danych osobowych przekazanych przez administratora,
  • konkretne zadania i obowiązki podmiotu przetwarzającego w kontekście przetwarzania oraz ryzyka naruszenia praw lub wolności osoby, której dane dotyczą,
  • przestrzeganie zapisów zawartych w umowie powierzenia lub innym instrumencie prawnym.

Kiedy można dokonać kontroli?

Weryfikacja podmiotu przetwarzającego powinna się odbyć przed rozpoczęciem współpracy, tak aby administrator mógł wybrać podmiot zapewniający odpowiednie gwarancje w szczególności, jeśli chodzi o wiedzę fachową, wiarygodność i zasoby oraz wdrożone środki techniczne i organizacyjne, które odpowiadają wymogom RODO.

Administrator ma także prawo kontroli podmiotu przetwarzającego w całym czasie trwania umowy. Kontrole mogą być planowane lub przeprowadzane doraźnie, np. w przypadku naruszenia zasad ochrony danych osobowych.

Tak więc jak wskazano powyżej, kontrole podmiotu przetwarzającego są obowiązkowe, zaleca się, aby były przeprowadzane cyklicznie, a swym zakresem nie powinny wykraczać poza czynności związane z przetwarzaniem danych osobowych przekazanych przez administratora. Jeżeli dane powierzamy wielu podmiotom przetwarzającym, należy zastanowić się nad kwestą odpowiedniego zaplanowania kontroli, tak mieć pewność, każdy z nich przetwarza dane zgodnie umową powierzenia oraz RODO.

O Autorze

Weronika Czyżewska
Konsultant w zakresie RODO, SZBI, KSC, ukończyła Uniwersytet im. Adama Mickiewicza w Poznaniu na kierunku geologia oraz Wyższą Szkołę Bankową w Poznaniu na kierunku zarządzanie przedsiębiorstwem. Specjalizuje się w ochronie danych osobowych, bezpieczeństwie informacji oraz cyberbezpieczeństwie. Ma kilkunastoletnie doświadczenie w analizie i prezentacji wyników finansowych przedsiębiorstw oraz w zarządzaniu ludźmi. Ma kilkuletnie doświadczenie w realizacji audytów i szkoleń, opracowaniu dokumentacji oraz kierowaniu projektami. Jako kierownik nie raz z powodzeniem rozwiązywała sytuacje kryzysowe, osiągając zamierzone cele. Aktualnie pracuje w PBSG jako konsultant ds. RODO, SZBI, KSC. Prywatnie uwielbia tańce latynoamerykańskie, a dzięki uporowi i ciężkiej pracy w 2013 roku zdobyła tytuł wicemistrzyni Europy w formacjach tanecznych. Wieczorami zgłębia swoją wiedzę na temat instrumentów finansowych i analizy technicznej wykresów giełdowych. Mieszka w Nowym Tomyślu, do którego przeniosła się z Poznania w 2020 roku.