Go to ...
Obiektywnie? Subiektywnie? O polityce, państwie, gospodarce… w poszukiwaniu paradygmatu rozwoju. Zawsze mamy rację!

Obserwator Polityczny on Google+RSS Feed

19 lutego 2019

RODO: obowiązek weryfikacji podmiotu przetwarzającego dane a lista kontrolna


ODO 24_obowiazek_weryfikacji_podmiotu_przetwarzajacego_a_lista_kontrolna_21.01.2019 Copyrights

Korzystanie z usług podwykonawców staje się coraz popularniejsze. W dużej części przypadków, może wiązać się to z koniecznością powierzenia przetwarzania danych osobowych firmie zewnętrznej, pełniącej wówczas rolę tzw. procesora. Aby działania te był zgodne z prawem, konieczne jest zawarcie odpowiedniej umowy. Co więcej, administrator może skontrolować swoich procesorów, czy aby na pewno zapewniają odpowiednie bezpieczeństwo przetwarzanych danych.

Obowiązki procesora w rękach administratora

Procesor to osoba fizyczna lub prawna, która przetwarza dane osobowe i działa jedynie na zlecenie administratora, będącego podmiotem decydującym w kwestii celów oraz sposobów wykorzystywania i przetwarzania danych osobowych. Działanie związane z powierzeniem ich przetwarzania jest obecnie powszechne, ponieważ często naturalnym elementem obrotu gospodarczego jest korzystanie z tzw. usług outsourcingowych, związanych nierozerwalnie z czynnościami dokonywanymi na danych osobowych. Zanim jednak dojdzie do współpracy, jej zasady powinny zostać uregulowane w ramach odpowiedniej umowy.

W szczególny sposób należy zadbać o kwestię weryfikacji działań oraz pracy podmiotu przetwarzającego, co stanowi obowiązek administratora wynikający z przepisów RODO. Pomocny w tym zakresie może być  art. 28 ust. 3 lit. h RODO, w myśl którego  administrator powinien mieć dostęp do wszelkich informacji niezbędnych w zakresie spełnienia obowiązków wynikających z RODO, a stanowiących o bezpieczeństwie przetwarzania. Zgodnie z przywołanym przepisem może on również przeprowadzić audyt podmiotu przetwarzającego dane.

Podwykonawca zobowiązany jest do zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniło wymagania rozporządzenia i chroniło prawa osób, których dane dotyczą. Co istotne, administrator może korzystać tylko i wyłącznie z podmiotów świadczących usługi dające takie gwarancje – wyjaśnia adw. Łukasz Pociecha, ekspert ds. ochrony danych osobowych, ODO 24.

Lista kontrolna jako alternatywa dla audytu procesora

Audyt jest narzędziem weryfikacji, które niewątpliwie umożliwia administratorowi obiektywną i niezależną ocenę funkcjonowania zewnętrznej firmy pod kątem spełnienia obowiązku prawnego w zakresie zapewnienia ochrony danych osobowych. Podczas kontroli analizie może zostać poddana m.in. kwestia posiadana dokumentacji w zakresie ochrony danych osobowych oraz wdrożenia skutecznych zabezpieczeń techniczno-organizacyjny w zapewniających ochronę danych.. Istnieją jednak alternatywne środki weryfikacji podmiotu przetwarzającego.

Administratorzy mogą przeprowadzić inspekcję działań procesora także za pomocą tzw. listy kontrolnej. Treść tego narzędzia musi być jednak na tyle precyzyjna, aby pozwalała administratorowi na uzyskanie szczegółowych informacji w zakresie stosowanych przez podmiot przetwarzający środków technicznych i organizacyjnych, które zapewnić maja zgodność z przepisami RODO oraz bezpieczeństwo przetwarzanych danych osobowych – wskazuje adw. Łukasz Pociecha, ekspert ds. ochrony danych osobowych, ODO 24.

W liście kontrolnej powinny być przewidziane miejsca zarówno na uwagi do zawartych w dokumencie pytań administratora, jak i oceny poszczególnych środków zapewniających bezpieczeństwo przetwarzania danych według ustalonych kryteriów przyjętych w procedurze weryfikacji podmiotu przetwarzającego (np. zgodność/częściowa zgodność/niezgodność). Przeprowadzenie weryfikacji podmiotu przetwarzającego, z uwzględnieniem opisanej listy kontrolnej, pozwala na okazanie konkretnego dowodu świadczącego o wyborze podmiotu przetwarzającego z uwzględnieniem obowiązku opisanego w art. 28 ust. 1 RODO.

ODO 24 sp. z o. o. oferuje kompleksowe rozwiązania w zakresie ochrony danych osobowych i bezpieczeństwa informacji. Dzięki doświadczonemu zespołowi ekspertów z zakresu m.in. prawa, informatyki, zarządzania kryzysowego oraz ciągłości działania dostarcza organizacjom praktyczne rozwiązania, pozwalające skutecznie zabezpieczyć posiadane zasoby informacyjne.

***

Informacja redakcji:

Wszelkie prawa do tekstu i grafiki zastrzeżone na rzecz ODO 24 sp. z o.o., wyłączenie licencji CC 3.0.

Tags: , , , , ,

2 komentarze “RODO: obowiązek weryfikacji podmiotu przetwarzającego dane a lista kontrolna”

  1. Inicjator
    23 stycznia 2019 at 04:47

    A czy jeśli PROCESOR będzie miał poniżej 155 cm wzrostu, to będzie nazywany MINIPROCESOREM?

    Szaleństwo RODO trwa!

  2. wieczorynka
    23 stycznia 2019 at 13:42

    Moje dane osobowe mogą wisieć na słupie ogłoszeniowym, z pominięciem adresu i tak nikt nie przeczyta.

    Dodam jeszcze, że wieś w której mieszkam jest daleko od szosy (był kiedyś taki serial).

    Wszelakim urzędnikom, którym m.in ja wypłacam pensję, życzę jak najwięcej pomysłów odnośnie RODO.
    Nie ma dobrych kabaretów, może być RODO.

Dodaj komentarz

Twój adres email nie zostanie opublikowany.

More Stories From Społeczeństwo

Scroll Up