Powierzenie przetwarzania danych osobowych zachodzi m.in. w przypadku usług:
księgowych;
kadrowych i płacowych;
przechowywania dokumentacji;
niszczenia dokumentacji;
hostingu serwera poczty elektronicznej;
prowadzenia monitoringu wizyjnego;
pracy tymczasowej (agencja pracy tymczasowej).
Administrator danych powinien każdorazowo przed powierzeniem przetwarzania danych osobowych zweryfikować potencjalny podmiot przetwarzający pod kątem stosowanych przez niego środków technicznych i organizacyjnych mających na celu zapewnienie odpowiedniego stopnia bezpieczeństwa przetwarzanych danych osobowych oraz spełnienie wszystkich wymogów wskazanych w RODO.
Administrator danych osobowych może w swoim imieniu powierzyć przetwarzanie danych osobowych, czyli zlecić różne czynności na danych osobowych, innemu podmiotowi. Podmiot (zleceniobiorca), który będzie przetwarzał dane osobowe w imieniu administratora, czyli wykonywał zlecone czynności na danych, będzie podmiotem przetwarzającym dla danego administratora.
W art. 28 ust. 1 RODO wskazano, że jeżeli przetwarzanie ma być dokonywanie w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Z przytoczonego artykułu wynika obowiązek administratora w zakresie wyboru odpowiednich podmiotów przetwarzających, czyli takich gwarantujących odpowiedni poziom bezpieczeństwa przetwarzania danych osobowych.
Wybór właściwego podmiotu przetwarzającego przez administratora jest o tyle istotny, że w przypadku naruszenia ochrony danych osobowych, do którego dojdzie po stronie podmiotu przetwarzającego z powodu jego błędów i zaniechań, odpowiedzialnym za naruszenie wciąż pozostaje administrator danych, na którego może zostać nałożona przez organ nadzorczy administracyjna kara pieniężna.
Administrator danych powinien każdorazowo przed powierzeniem przetwarzania danych osobowych zweryfikować potencjalny podmiot przetwarzający pod kątem stosowanych przez niego środków technicznych i organizacyjnych mających na celu zapewnienie odpowiedniego stopnia bezpieczeństwa przetwarzanych danych osobowych oraz spełnienie wszystkich wymogów wskazanych w RODO. Przeprowadzona i udokumentowana weryfikacja z jednej strony pozwoli na wybór odpowiedniego podmiotu przetwarzającego, z drugiej zaś zapewni administratorowi danych rozliczalność przestrzegania przez niego przepisów RODO.
Poniżej przedstawiamy przykładowe pytania w ankiecie weryfikacyjnej, dzięki której będą mogli Państwo zweryfikować potencjalny podmiot przetwarzający – jest to podstawowy sposób weryfikacji podmiotu przetwarzającego, który może być punktem wyjścia do audytów dokonywanych u danego podmiotu przetwarzającego.
Czy podmiot przetwarzający posiada doświadczenie w świadczeniu usług związanych z przetwarzaniem powierzonych danych?
Czy podmiot przetwarzający ma wyznaczonego inspektora ochrony danych?
Czy podmiot przetwarzający zleca czynności podwykonawcom na zasadzie dalszego powierzenia przetwarzania danych osobowych (podpowierzenie)?
Czy dane osobowe będą przetwarzane poza Europejskim Obszarem Gospodarczym?
Czy podmiot przetwarzający nadaje upoważnienia do przetwarzania danych osobowych osobom wyznaczonym do realizacji umowy?
Czy osoby upoważnione do przetwarzania danych osobowych zostały zobowiązane do zachowania tajemnicy?
Czy podmiot przetwarzający zapewnia pracownikom szkolenia w zakresie ochrony danych osobowych?
Czy oprogramowania stosowane przez podmiot przetwarzający posiadają licencje i są na bieżąco aktualizowane?
Czy urządzenia przetwarzające dane osobowe są chronione przez oprogramowanie antywirusowe?
Czy stosowane są rozwiązania typu firewall?
Czy stosuje się rozwiązania kryptograficzne?
Czy podmiot przetwarzający posiada zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania powierzonych danych zgodnie z art. 32 RODO?
Czy podmiot przetwarzający przeprowadza regularne przeglądy stosowanych zabezpieczeń?
Czy podmiot przetwarzający posiada zdolność do szybkiego przywrócenia dostępności danych w razie incydentu zgodnie z art. 32 RODO?
Czy podmiot przetwarzający posiada procedurę/instrukcję postępowania w sytuacji incydentu bezpieczeństwa informacji oraz naruszenia ochrony danych osobowych?
Pragniemy również przypomnieć, że każdorazowo służymy naszym klientom pomocą przy działaniach związanych z wyłonieniem właściwego podmiotu przetwarzającego, jak i opiniowaniu umów powierzenia przetwarzania danych osobowych.