Audyt umów powierzenia

RODO znacząco zmienia wymogi dotyczące umów zawieranych z podmiotami, którym powierza się dane do przetwarzania (procesorów). Artykuł 28 ust. 3 RODO wymienia osiem obowiązków procesorów, które powinny być wpisane do takiej umowy powierzenia:

  1. przetwarzanie danych wyłącznie na udokumentowane polecenie administratora (np. wprowadzenie danych do systemu informatycznego dostarczanego przez procesora w trybie SaaS będzie mogło być traktowane jako takie „udokumentowane polecenie”, jeśli procesor zapisuje odpowiednie logi informatyczne dokumentujące takie czynności wprowadzenia danych);
     
  2. zobowiązanie osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy;
     
  3. podjęcie odpowiednich środków zabezpieczających dane;
     
  4. zapewnienie, że ewentualni podprocesorzy zapewniają takie same warunki bezpieczeństwa danych jak procesor;
     
  5. pomoc administratorowi w wywiązywaniu się z realizacji praw podmiotów danych (prawo do informacji, prawo do bycia zapomnianym itd.);
     
  6. pomoc administratorowi w zapewnianiu bezpieczeństwa danych oraz w raportowaniu o incydentach;
     
  7. usunięcie lub zwrotne przekazanie administratorowi wszelkich danych po zakończeniu współpracy;
     
  8. przekazywanie administratorowi wszelkich informacji świadczących o spełnianiu przez procesora wymogów RODO oraz umożliwienie administratorowi dokonywania audytów w przedsiębiorstwie procesora.

Audyt takich umów będzie polegać na sprawdzeniu, czy wszystkie wymienione elementy znajdują się w umowie.

Ułatwieniem, które wprowadza RODO, jest fakt, że umowa powierzenia przetwarzania danych może być zawarta w formie elektronicznej (poprzednio wymagana była forma pisemna). Ułatwia to znacznie korzystanie z narzędzi internetowych – różnego rodzaju biznesowych usług Saas i aplikacji, w których dochodzi do przetwarzania danych osobowych, a które obecnie są oferowane globalnie.

Najbardziej jednak znaczącą różnicą w stosunku do poprzednich przepisów jest wymóg wynikający z art. 28 ust. 1 RODO, by administrator korzystał wyłącznie z usług takich procesorów, którzy dają gwarancję przestrzegania RODO. Administrator odpowiada zatem za tzw. winę w wyborze. Jeżeli będzie korzystał z usług procesora (np. biura księgowego, firmy hostingowej, biura call center, kancelarii prawnej czy doradcy podatkowego), który nie przykłada wagi do zasad ochrony danych osobowych, wówczas administrator może zostać obciążony sankcjami za wyciek danych, który nastąpił nie z jego bazy, lecz z bazy prowadzonej przez procesora.

W ramach audytu firmy pod kątem zgodności z RODO należy zatem przejrzeć listę wszystkich swoich kontrahentów, którym powierza się przetwarzanie danych osobowych i zaproponować im zmianę poprzednio zawartych umów na bardziej szczegółowe. Należy również wymagać odpowiednio ważkich oświadczeń i zapewnień co do bezpieczeństwa powierzanych danych. Jeżeli jakiś kontrahent odmawia podpisania aneksu do umowy powierzenia albo odmawia dopisania do umowy o współpracę stosownych klauzul, jest to sygnał, by zrezygnować z usług takiego podmiotu. Oznacza to bowiem, że nie przykłada on należytej staranności do ochrony danych osobowych przetwarzanych na zlecenie swoich klientów.