Zgodnie z art. 5 ust. 2 RODO każdy administrator ponosi odpowiedzialność za przetwarzanie danych osobowych zgodnie z zasadami i musi być w stanie wykazać ich przestrzeganie („rozliczalność”) – dlatego tak istotne z jego punktu widzenia jest gruntowne zbadanie, jakiemu podmiotowi (i na jakiej podstawie) powierza przetwarzanie danych osobowych. By jeszcze mocniej położyć nacisk na konieczność korzystania z zaufanych podwykonawców należy wziąć pod uwagę art. 28 RODO, zgodnie z którym Administrator korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Warto zaakcentować, że ocena administratora czy dany dostawca spełnia należyte gwarancje, jest formą oceny ryzyka.
W jaki sposób dokonać weryfikacji podmiotu przetwarzającego?
Odpowiedź jest prosta. Zdroworozsądkowo. Sposób weryfikacji, pytania i ich szczegółowość oraz ewentualny obowiązek przedstawienia stosowanych procedur/polityk mogą różnić w zależności od charakteru powierzenia i zakresu powierzonych danych. Na rynku znane są metody weryfikacji takie jak: bazowanie na ankietach weryfikacyjnych, stacjonarne audyty, audyty systemów informatycznych.
Kiedy dokonać weryfikacji podmiotu przetwarzającego?
Jako dobrą praktykę z zakresu ochrony danych osobowych uznaje się przeprowadzanie weryfikacji przed zawarciem umowy powierzenia oraz w trakcie trwania współpracy w odpowiednich odstępach czasu. Można zatem uznać, że korzystania wyłącznie z usług podmiotów przetwarzających „zapewniających wystarczające gwarancje” jest obowiązkiem ciągłym.
Co powinna obejmować weryfikacja podmiotu przetwarzającego?
Co do zasady weryfikacja podmiotu przetwarzającego powinna dać nam szereg informacji odnośnie posiadania wiedzy fachowej, wiarygodności podmiotu przetwarzającego, jego zasobów oraz reputacji na rynku.
Rola IOD w procesie weryfikacji podmiotu przetwarzającego
IOD dokonuje oceny na podstawie przekazanych mu przez właściciela biznesowego niezbędnych informacji, jaką formę weryfikacji podmiotu przetwarzającego zastosować w konkretnym przypadku. IOD analizuje otrzymane od podmiotu przetwarzającego informacje, ocenia czy jest konieczność dokonania szerszej weryfikacji oraz informuje o wynikach swojej analizy.
Co grozi za brak weryfikacji podmiotu przetwarzającego?
Niedochowanie należytej staranności w wyborze podmiotu przetwarzającego może być dla administratora danych niezwykle kosztowną lekcją, albowiem zagrożone jest karą do 10.000.000 EUR, a w przypadku przedsiębiorstwa – 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
