RODO: sprawdzajcie podwykonawców
Firma musi weryfikować podwykonawcę, któremu powierza dane osobowe w ramach outsourcingu usług. Lepiej nie czekać, aż sprawą zainteresuje się UODO.
Firmy korzystając z usług podwykonawców często powierzają im przetwarzanie danych osobowych, które podlegają ochronie. W nomenklaturze RODO taki kontrahent to tzw. procesor. Może to być np. firma call center czy zewnętrzny serwis. Administrator (podmiot zlecający) decyduje o celach i sposobach wykorzystywania i przetwarzania takich informacji. Trzeba pilnować, czy taki przedsiębiorca dba o odpowiednią ochronę powierzonych mu informacji – tego wymaga RODO.
Konieczna jest umowa
Zanim dojdzie do współpracy z procesorem, jej zasady powinny zostać uregulowane w umowie. Otóż podwykonawca musi wdrożyć odpowiednie środki techniczne i organizacyjne, by spełnić wymagania RODO. Aby nie narazić się na kary, wolno korzystać wyłącznie z usług podmiotów, dających takie gwarancje.
W interesie administratora jest więc weryfikacja zewnętrznej firmy. Powinien on uzyskać dostęp do wszelkich informacji dotyczących spełnienia wymagań RODO w zakresie przetwarzania danych przez procesora (zgodnie z art. 28 ust. 3 lit. h). Może również przeprowadzić u niego audyt, kontrolując m.in. dokumentację dotyczą ochrony danych osobowych i wdrożenie odpowiednich zabezpieczeń u podwykonawcy.
Lista kontrolna zamiast audytu
Procesora można sprawdzić także za pomocą tzw. listy kontrolnej. Musi ona być tak sformułowana, by umożliwić administratorowi uzyskanie szczegółowych informacji, jakie środki techniczne i organizacyjne zastosował podwykonawca, by zapewnić zgodność z RODO i bezpieczeństwo danych osobowych – wskazuje Łukasz Pociecha, ekspert ds. ochrony danych osobowych w ODO 24.
W liście kontrolnej powinno być miejsce na uwagi do pytań administratora i ocenę poszczególnych środków ochrony danych (np. zgodność/częściowa zgodność/niezgodność). Odpowiednio przeprowadzona weryfikacja jest dowodem wyboru procesora zgodnie z RODO (art. 28 ust. 1).
Za niespełnienie wymagań RODO grożą kary do 20 mln euro lub 4 proc. rocznych obrotów przedsiębiorstwa. Prezes UODO zapowiedziała już pierwsze kary finansowe w związku z naruszeniem przepisów rozporządzenia.
Podobne aktualności
Będzie pierwszy w Polsce więzień za RODO? Prezesowi grożą 2 lata
Szefowi spółki grozi więzienie za uniemożliwienie przeprowadzenia kontroli UODO. Prokurator już wysłał do sądu akt oskarżenia.
UODO wszczęło postępowanie wobec SGGW
Wraca głośna sprawa skradzionego laptopa, pełnego danych o kandydatach na studia na warszawskiej uczelni.