Weryfikacja podmiotów przetwarzających i przekazywanie danych poza EOG. Jakie są obowiązki na gruncie RODO?
Trudno znaleźć firmę, która nie korzysta z usług podwykonawców, w szczególności dostawców narzędzi IT – programów komputerowych, aplikacji internetowych, usług chmurowych. Narzędzia takie jak Google Workspace, Microsoft 365, Slack, Calamari z pewnością są znane w większości firm. Na gruncie RODO korzystanie z usług podwykonawców najczęściej będzie wiązało się z powierzeniem danych osobowych przez administratora do przetwarzania podmiotowi przetwarzającemu.
W poniższym artykule wyjaśniamy, jakie obowiązki ciążą na administratorze danych osobowych (ADO lub administrator) w związku z korzystaniem z tych narzędzi i powierzeniem danych osobowych do przetwarzania podmiotowi przetwarzającemu (procesorowi). Wskazujemy również, jakie są szczególne wymagania w odniesieniu do korzystania z usług podwykonawców mających siedziby poza Europejskim Obszarem Gospodarczym (EOG), czyli krajami UE oraz Norwegią, Islandią, Liechtensteinem.
Weryfikacja procesora przed powierzeniem danych
Administrator musi sprawdzić, czy procesor zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Obowiązek ten powinien zostać zrealizowany jeszcze przed faktycznym powierzeniem danych, a zatem przed rozpoczęciem korzystania z usług procesora – najlepiej przed zawarciem umowy biznesowej z procesorem.
Weryfikacja poprzez przesłanie listy pytań
Jak w praktyce zweryfikować procesora przed powierzeniem mu przetwarzania danych osobowych? Weryfikacja może nastąpić poprzez przesłanie listy pytań do podmiotu przetwarzającego. Pytania powinny dotyczyć wiedzy fachowej, wiarygodności i zasobów procesora. Dopiero po upewnieniu się, że procesor spełnia wymogi na gruncie RODO można zawrzeć z nim umowę powierzenia. Zawarcie umowy powierzenia jest obowiązkowe, a powierzenie danych bez jej zawarcia stanowi istotne naruszenie RODO, co potwierdza szereg decyzji Prezesa Urzędu Ochrony Danych Ososbowych.
Cykliczna weryfikacja procesora
W tym miejscu nie kończy się jednak obowiązek weryfikacji procesora, ponieważ powinien on być realizowany w sposób stały, cyklicznie. Stosownie do art. 28 ust. 3 lit. h) RODO na podstawie umowy powierzenia administrator ma obowiązek przeprowadzania audytów, a procesor powinien z nim współpracować w tym zakresie.
RODO nie określa częstotliwości przeprowadzania audytów procesora, decyzję pozostawia się administratorowi. Należy jednak pamiętać, że niezależnie od przyjętej częstotliwości, audyty powinno się przeprowadzać również wówczas, gdy u procesora stwierdzone zostanie naruszenie ochrony danych osobowych.
Sankcje za brak weryfikacji procesora
W praktyce administratorzy rzadko weryfikują kontrahentów pod kątem zapewnienia przez nich zgodności z RODO przed rozpoczęciem współpracy. Wiele firm nie zdaje sobie sprawy, że taki obowiązek w ogóle istnieje. Jego niespełnienie stanowi naruszenie RODO i może skutkować negatywnymi konsekwencjami w razie kontroli organu nadzorczego (Prezes UODO).
Dla przykładu – decyzją z dnia 19.01.2022 r. Prezes UODO ukarał spółkę Fortum Marketing and Sales Polska S.A. karą w wysokości 4,9 mln złotych, m.in. za brak weryfikacji podmiotu przetwarzającego. Spółka uzasadniała brak weryfikacji faktem, iż współpracuje z procesorem od wielu lat, a także tym, iż procesor jest w swojej dziedzinie liderem na rynku usług. W ocenie Prezesa UODO takie uzasadnienie dla braku weryfikacji nie jest jednak wystarczające.
Przekazywanie danych do krajów spoza Europejskiego Obszaru Gospodarczego
Obowiązek weryfikacji procesora nie jest jedynym obowiązkiem w przypadku, gdy podmiot, któremu planujemy powierzyć dane, ma siedzibę poza terytorium EOG. W przypadku transferowania danych poza EOG administrator musi zapewnić, aby przekazywanie danych było dokonywane w taki sposób, aby nie został naruszony stopień ochrony danych zapewniany przez RODO. Służą temu mechanizmy legalizujące transfery danych, wskazane w art. 46 RODO.
Sposób na legalne transferowanie danych
Komisja Europejska może stwierdzić, że dany kraj zapewnia wystarczający poziom ochrony danych. Taka decyzja dotyczy, m.in. Wielkiej Brytanii. Co ważne, taka decyzja nie dotyczy USA. Francuski organ ochrony danych (CNIL) na swojej stronie udostępnił mapę pozwalającą zobaczyć, jaki jest poziom ochrony danych w każdym kraju na świecie: https://www.cnil.fr/en/data-protection-around-the-world.
Jak zalegalizować transfer do USA i innych krajów, których nie dotyczy decyzja o adekwatności?
Takiej legalizacji służą standardowe klauzule umowne (SKU). Jest to zestaw klauzul opracowany przez Komisję Europejską, które mogą zalegalizować transfer do państwa trzeciego, jeżeli wobec tego państwa nie została wydana decyzja o adekwatności. SKU zawierają cztery moduły i należy je wybrać w zależności od podstawy przekazania (powierzenie lub udostępnienie):
- administrator – administrator
- administrator – procesor
- procesor – procesor
- procesor – administrator
Ponadto konieczne jest przeprowadzenie oceny wpływu transferu na prywatność osób, których dane dotyczą (TIA – Transfer Impact Assessment).
Obecny zestaw klauzul, który został opublikowany przez Komisję Europejską w czerwcu 2021 roku, powinien był zostać zaimplementowany w umowach z podmiotami spoza EOG do 27 grudnia 2022 roku. Transferowanie danych po tej dacie z pominięciem SKU stanowi naruszenie RODO, dlatego każda firma korzystająca z podwykonawców spoza EOG powinna dokonać przeglądu swoich umów i w razie konieczności je zaktualizować.
Chrońmy przetwarzane dane i zapewnijmy zgodność z RODO
Weryfikacja procesorów jest obowiązkiem każdej firmy korzystającej z podwykonawców, którym powierza dane osobowe. Weryfikacja powinna zostać przeprowadzona jeszcze przed faktycznym powierzeniem danych i może nastąpić na przykład poprzez przesłanie listy pytań do procesora. Zawarcie umowy powierzenia jest obowiązkowe, a powierzenie danych bez jej zawarcia stanowi naruszenie RODO. W przypadku przekazywania danych poza EOG należy także pamiętać o zapewnieniu odpowiedniego mechanizmu legalizującego transfer.
Podjęcie tych kroków z pewnością zapewni większą kontrolę nad procesem przetwarzania danych w organizacji, a także pozwoli uniknąć wysokich kar, w razie stwierdzenia przez Prezesa UODO nieprawidłowości.
Skontaktuj się