Firmy korzystając z usług podwykonawców często powierzają im przetwarzanie danych osobowych, które podlegają ochronie. W nomenklaturze RODO taki kontrahent to tzw. procesor. Może to być np. firma call center czy zewnętrzny serwis. Administrator (podmiot zlecający) decyduje o celach i sposobach wykorzystywania i przetwarzania takich informacji. Trzeba pilnować, czy taki przedsiębiorca dba o odpowiednią ochronę powierzonych mu informacji – tego wymaga RODO.

 

Konieczna jest umowa

Zanim dojdzie do współpracy z procesorem, jej zasady powinny zostać uregulowane w umowie. Otóż podwykonawca musi wdrożyć odpowiednie środki techniczne i organizacyjne, by spełnić wymagania RODO. Aby nie narazić się na kary, wolno korzystać wyłącznie z usług podmiotów, dających takie gwarancje.

W interesie administratora jest więc weryfikacja zewnętrznej firmy. Powinien on uzyskać dostęp do wszelkich informacji dotyczących spełnienia wymagań RODO w zakresie przetwarzania danych przez procesora (zgodnie z art. 28 ust. 3 lit. h). Może również przeprowadzić u niego audyt, kontrolując m.in. dokumentację dotyczą ochrony danych osobowych i wdrożenie odpowiednich zabezpieczeń u podwykonawcy.

Lista kontrolna zamiast audytu

Procesora można sprawdzić także za pomocą tzw. listy kontrolnej. Musi ona być tak sformułowana, by umożliwić administratorowi uzyskanie szczegółowych informacji, jakie środki techniczne i organizacyjne zastosował podwykonawca, by zapewnić zgodność z RODO i bezpieczeństwo danych osobowych – wskazuje Łukasz Pociecha, ekspert ds. ochrony danych osobowych w ODO 24.

W liście kontrolnej powinno być miejsce na uwagi do pytań administratora i ocenę poszczególnych środków ochrony danych (np. zgodność/częściowa zgodność/niezgodność). Odpowiednio przeprowadzona weryfikacja jest dowodem wyboru procesora zgodnie z RODO (art. 28 ust. 1).

Za niespełnienie wymagań RODO grożą kary do 20 mln euro lub 4 proc. rocznych obrotów przedsiębiorstwa. Prezes UODO zapowiedziała już pierwsze kary finansowe w związku z naruszeniem przepisów rozporządzenia.