W ramach prowadzenia biznesu korzystasz z usług takich jak np. Google Workspace, Microsoft 365, Microsoft Azure lub z usług innych podwykonawców?
Czy wiesz jakie obowiązki na gruncie RODO się z tym wiążą?
Niemal każda firma korzysta z narzędzi i usług wspierających jej pracę, np. przestrzeni chmurowej, usług agencji rekrutacyjnych, komunikatorów, aplikacji do ewidencjonowania czasu pracy, wystawiania faktur itp.
Należy pamiętać, że za każdym z narzędzi lub za każdą z usług stoi podmiot, który może uzyskać wgląd do przetwarzanych danych osobowych.
Skoro przetwarzane są dane osobowe, to do akcji wkracza RODO. Istnieje szereg obowiązków, które należy spełnić, aby zapewnić zgodność z przepisami dot. ochrony danych osobowych i aby nie narazić się na sankcje ze strony organu nadzorczego (w Polsce tym organem jest Prezes Urzędu Ochrony Danych Osobowych – “PUODO”).
Role w procesie przetwarzania danych
Na gruncie RODO wyróżniamy dwóch głównych aktorów w procesie przetwarzania danych osobowych – Administratora i podmiot przetwarzający.
Administrator to podmiot, który określa cele i sposoby przetwarzania danych osobowych.
Podmiot przetwarzający (zwany też procesorem) przetwarza dane osobowe w imieniu administratora, ale nie określa już sposobu i celu przetwarzania danych – to rola administratora.
Administrator może powierzyć podmiotowi przetwarzającemu dane osobowe do przetwarzania w jego imieniu.
Kiedy w praktyce dochodzi do powierzenia przetwarzania danych osobowych?
Na przykład podczas gdy:
- korzystamy z przestrzeni dyskowej udostępnianej w chmurze,
- korzystamy z usług księgowych,
- zlecamy zniszczenie dokumentów zewnętrznej firmie,
- korzystamy z aplikacji do raportowania czasu pracy,
- zamieszczamy ogłoszenie w sprawie pracy na portalu rekrutacyjnym.
Znalazłem podmiot, z którego usług chcę skorzystać. Co muszę zrobić?
Przede wszystkim należy zweryfikować, czy nasz kontrahent zapewnia przestrzeganie przepisów RODO i zapewnia odpowiedni stopień ochrony praw osób, których dane osobowe mają być przetwarzane. Wymóg taki nakłada wprost art. 28 ust. 1 RODO:
Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
Jak weryfikować w praktyce?
RODO nie precyzuje w jaki sposób dokonać takiej weryfikacji. W praktyce może ona przybrać postać przesłania do procesora pytań w formie kwestionariusza (tzw. “preaudyt”). Pytania powinny dotyczyć wszystkich istotnych aspektów dotyczących przestrzegania RODO.
Inną możliwością jest “ręczna” weryfikacja procesora na podstawie dostępnych w Internecie informacji. Bardzo często więksi dostawcy sami udostępniają wszelkie istotne informacje w ramach np. “Trust Center” – miejsca gdzie udostępniają wszystkie najistotniejsze informacje. Najbardziej powinny nas interesować wszelkie dokumenty opisujące stosowane zabezpieczenia, powinniśmy zwrócić uwagę na konkrety, takie jak np.: zarządzanie dostępem do przetwarzanych danych, szyfrowanie danych, wykonywanie kopii zapasowych, zarządzanie logami, stosowanie wieloskładnikowego uwierzytelniania, regularne testy penetracyjne, certyfikaty takie jak ISO 27001, SOC 2 Type II, raporty z przeprowadzonych audytów.
Istotne jest także, czy procesor prowadzi wszelkie wymagane przepisami rejestry (np. rejestr czynności przetwarzania, rejestr naruszeń), czy wyznaczył IOD jeśli był do tego zobligowany, czy przeprowadził analizy ryzyk.
Deklaracja “jesteśmy zgodni z RODO” nie jest wystarczającą gwarancją tego, że procesor wdrożył odpowiednie środki bezpieczeństwa.
Podsumowanie
Pamiętajmy, że weryfikacja dotyczy wszystkich naszych kontrahentów, którym powierzamy dane osobowe. Powinna ona zostać przeprowadzona przed faktycznym powierzeniem danych i może nastąpić poprzez przesłanie listy pytań lub na podstawie powszechnie dostępnych informacji.
Brak weryfikacji podmiotu przetwarzającego stanowi naruszenie RODO i może skutkować nałożeniem sankcji przez PUODO w postaci m.in. kary pieniężnej. Nie warto więc bagatelizować tego obowiązku.
