Jak przeprowadzić audyt umów powierzenia danych osobowych i wprowadzać do nich zmiany?

Powierzenie przetwarzania danych osobowych to jeden z najczęściej wykorzystywanych instrumentów prawnych przewidzianych w przepisach RODO, a regulujących wzajemnie relacje między różnymi podmiotami biorącymi udział w procesie przetwarzania danych osobowych. Wynika to z faktu, że powierzenie przetwarzania danych osobowych jest stosowane w codziennych relacjach zarówno w sferze obrotu gospodarczego, jak i między podmiotami publicznymi.

Obecnie konieczność zawierania umów powierzenia przetwarzania danych nie budzi już większych wątpliwości i zarówno administratorzy danych, jak i podmioty przetwarzające mają zazwyczaj wypracowane wzorce takich umów.

Pamiętać jednak należy, że zgodnie z intencją ustawodawcy unijnego dostosowanie procesów przetwarzania danych do wymogów RODO powinno być procesem ciąg­łym, uwzględniającym zmieniające się otoczenie operacji przetwarzania danych: technologiczne, organizacyjne, a czasem także związane z fizycznym miejscem przetwarzania danych osobowych.

W tej sytuacji, aby zapewnić odpowiedni poziom ochrony danych osobowych w zakresie powierzenia ich przetwarzania, należy przeprowadzać cykliczne audyty zawartych umów dotyczących powierzenia przetwarzania danych.   

Jakie elementy umowy powierzenia przetwarzania należy uwzględnić w audycie?

Planując przeprowadzenie takiego audytu zawartych umów powierzenia przetwarzania danych, najlepiej oprzeć się na wymogach dotyczących powierzenia przetwarzania, wynikających z art. 28 RODO.

Zgodnie z art. 28 ust. 3 RODO umowa lub inny instrument prawny, na podstawie którego powierzone zostają
dane osobowe, powinien określać szczególnie, że podmiot przetwarzający:

a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim wypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;

Uwaga!

Przeprowadzając audyt umów powierzenia przetwarzania, należy sprawdzić, w jakim zakresie podmioty przetwarzające przetwarzają dane osobowe – czy odbywa się to wyłącznie na polecenie administratora danych, a jeśli przetwarzanie jest prowadzone na podstawie przepisu prawa, to należy zweryfikować aktualność tych przepisów.

b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

Uwaga!

Warto sprawdzić, czy i w jakim zakresie obowiązek zachowania tajemnicy został nałożony na osoby upoważnione do przetwarzania danych przez podmiot przetwarzający.

c) podejmuje wszelkie środki wymagane na mocy art. 32 RODO;

Uwaga!

Najefektywniejszym sposobem weryfikacji tego punktu jest sprawdzenie, jakie środki bezpieczeństwa zostały wdrożone (można np. zażądać listy stosowanych środków bezpieczeństwa), oraz sprawdzenie ich adekwatności na podstawie przeprowadzonej przez podmiot przetwarzający analizy ryzyka.

d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4 RODO;

Uwaga!

W zależności od ustaleń między stronami należy sprawdzić listę podmiotów podprzetwarzających, a jeśli z umowy wynikała konieczność wyrażenia na dany podmiot zgody administratora, sprawdzić prawidłowość wyraźnej zgody.

e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi przez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO;

Uwaga!

W...

Dalsza część jest dostępna dla użytkowników z wykupionym planem