Zawieranie umów powierzenia przetwarzania danych osobowych wiąże się coraz częściej z dodatkowym obowiązkiem dla podmiotu przetwarzającego (procesora). A mianowicie z koniecznością poddania się swoistemu audytowi stosowanych środków (technicznych, organizacyjnych) mających zapewnić bezpieczeństwo danych osobowych, które przetwarzający ma otrzymać.
To sprawdzenie może się pojawić na różnych etapach współpracy – może mieć miejsce jednocześnie z zawieraniem umowy powierzenia, i z reguły jest procedowane równolegle do niej, albo pojawia się wcześniej, jeszcze przed zawarciem takiej umowy, albo później, np. w ramach audytów bezpieczeństwa. Przybiera też różne formy i nazwy: audytu ochrony danych, wykazu środków organizacyjnych i technicznych, formularza oceny podmiotu przetwarzającego.
Ogłoszenia z kategorii Przetargi
-
Zarząd WSM "Ochota" zawiadamia, że odbędzie się przetarg na remont klatki schodowej
Ogłoszenie premium 11 dni do końca02.12.2024
WARSZAWA, MazowieckiePrzetargi, Przetargi na dostawę -
Zarząd WSM "Ochota" zawiadamia, że odbędzie się przetarg na zagospodarowanie podwórza zlokalizowanego przy budynku mieszkalnym wielorodzinnym
Ogłoszenie premium 10 dni do końca01.12.2024
WARSZAWA, MazowieckiePrzetargi, Przetargi na dostawę
RODO. Weryfikacja procesora to bezpieczeństwo danych
Przypatrując się praktyce biznesowej zawierania umów, w ramach których następuje przetwarzanie danych osobowych, można wyciągnąć wniosek, że weryfikacja procesora jest niepopularnym wymogiem związanym z zawieraniem umowy powierzenia przetwarzania danych osobowych. W rzeczywistości jest to proces, który ma pokazać, że administrator (np. zamawiający) spełnia jeden z ważniejszych wymogów, wynikających z przepisów RODO w zakresie ochrony danych osobowych. Proces ten ma zapewnić, że administrator – zanim zawarł umowę powierzenia przetwarzania danych osobowych – sprawdził, czy podmiot, któremu planuje te dane udostępnić jest w stanie przetwarzać je, a przede wszystkim chronić i zabezpieczać we właściwy sposób.
Czy i jak zamawiający powinien weryfikować procesora?
Jeżeli postępowanie w sprawie zamówienia publicznego ma przebiegać z dostępem Wykonawcy do danych osobowych Zamawiającego, konieczne będzie zawarcie z takim podmiotem umowy powierzenia przetwarzania danych osobowych, co wynika wprost z art. 28 RODO i nie budzi obecnie większych wątpliwości. W takim przypadku konieczne będzie jednak także przeprowadzenie wspomnianej weryfikacji. Konstruując formularz takiej oceny (który może być załącznikiem do umowy powierzenia), Zamawiający (administrator) powinien wskazać w nim informacje, które chce uzyskać od Wykonawcy (przetwarzającego), dostosowując je do specyfiki planowanego w ramach umowy powierzenia przetwarzania danych osobowych. Przemyślane i przejrzyste ujęcie środków organizacyjnych i technicznych, do których powinien odnieść się Wykonawca pozwoli Zamawiającemu uniknąć wątpliwości/niejasności wymagających wyjaśnienia.
RODO. Z czego wynika obowiązek weryfikacji procesora?
Weryfikacja procesora ma swoje źródło przede wszystkim w treści art. 28 ust. 1 RODO[1], i jest to źródło zasadnicze. Z tego przepisu wynika, że administrator ma obowiązek korzystania tylko z takich podmiotów przetwarzających, które zapewniają „wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych".
Administrator musi zatem sprawdzić, czy wybrany przez niego podmiot przetwarzający - czyli np. wykonawca określonej usługi - takie wymogi spełnia. Oczywiście dotyczy to tylko i wyłącznie stron umowy powierzenia. Obowiązek weryfikacji pojawi się więc tylko wtedy, gdy między stronami wystąpi relacja powierzenia przetwarzania danych osobowych.
Jeżeli zatem zawierana jest umowa z dostawcą określonego produktu, i wiadomo, że specyfika takiej dostawy nie wywoła przetwarzania danych osobowych, nie pojawi się ani potrzeba zawarcia umowy powierzenia ani też weryfikacji podmiotu przetwarzającego.
Dodatkowo, drugim źródłem tego obowiązku administratora są przepisy Decyzji Wykonawczej Komisji (UE) 2021/915 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi na podstawie art. 28 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 oraz art. 29 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725[2].
W postanowieniach tejże decyzji Komisja odwołuje się do wymogu z art. 28 RODO (dotyczącego obowiązku korzystania z podmiotów przetwarzających, dających rękojmie stosowania środków wymaganych przez RODO), konkretyzując nieco, czego mają dotyczyć owe gwarancje: wiedzy fachowej, wiarygodności i zasobów. Komisja wylicza konkretne kategorie środków technicznych i organizacyjnych, które powinien wskazać i stosować (mieć wdrożone) podmiot przetwarzający, aby zapewnić odpowiedni poziomu bezpieczeństwa, z uwzględnieniem charakteru, zakresu, kontekstu i celu przetwarzania, a także ryzyka naruszenia praw i wolności osób fizycznych. Mówiąc jeszcze inaczej – wskazując te środki, procesor informuje, w jaki sposób będzie chronił dane osobowe.
W tym katalogu znajdują się np. środki umożliwiające szyfrowanie danych, środki zapewniające minimalizację danych, rozliczalność czy identyfikacje i autoryzację użytkowników. Katalog zawarty w decyzji Komisji ma charakter przykładowy, nie wszystkie środki będą ważne przy konkretnym przetwarzaniu, z drugiej strony, może się pojawić potrzeba wskazania jeszcze innych środków organizacyjnych w katalogu nieujętych, a charakterystycznych dla konkretnego przetwarzania. Np., jeżeli w takim przetwarzaniu mają uczestniczyć pracownicy podmiotu przetwarzającego, administrator może oczekiwać deklaracji, że osoby, które będą dopuszczone do przetwarzania, zostały przeszkolone z przepisów o ochronie danych osobowych i upoważnione do takiego przetwarzania.
[1] Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz. Urz. UE L z 2016 r. nr 119/1
[2] Dz. Urz. UE L 199/18.