RODO

Jak weryfikować procesora?

Nie odkryjemy Ameryki, kiedy napiszemy, że administrator odpowiada za wybór podmiotu przetwarzającego. Taka odpowiedzialność wynika z art. 28 ust. 1 RODO. Bardzo często administrator ma bardzo wąskie pole do manewru, jeśli chodzi o wybór procesora czy też narzucenie mu „swojej woli” w zakresie postanowień umowy powierzenie. Niejednokrotnie to administrator jest w ekonomicznie o wiele słabszej pozycji aniżeli wielcy dostawcy usług (w szczególności ci międzynarodowi), z którymi nie tylko niemalże niemożliwe jest ustalenie  indywidualnych warunków przetwarzania oraz obowiązków procesora, ale nawet zawarcie samej umowy powierzenia. Jednak dzisiaj nie o tym – przyjmijmy, że pozycja ADO i procesora jest w miarę równa i administrator rzeczywiście ma ekonomiczny i organizacyjny wpływ na określenie postanowień umowy powierzenia oraz wybór odpowiedniego procesora. Na co zwrócić uwagę?

Pierwszym krokiem powinna być sama weryfikacja biznesowa naszego kontrahenta. Musimy najpierw po prostu chcieć nawiązać z nim współpracę. Niby banał, ale każdorazowo, gdy zawieramy z kimś umowę zasięgamy opinii albo czytamy je w Internecie. Wbrew pozorom, takie opinie bardzo często mogą nam już coś powiedzieć o stosowaniu przez potencjalnego procesora wymogów RODO. Jeżeli w powtarzających się opiniach czytamy, że firma jest nierzetelna, dochodzi u niej do częstych awarii, braku dostępności usługi, to może nam to dać do myślenia, czy aby na pewno proces organizacyjny u naszego badanego procesora jest odpowiednio ułożony.

Drugi krok to już same negocjacje umowne. Z pewnością trzeba w nie wpleść sprawdzenie wiarygodności podwykonawcy jako procesora. Checklista z odpowiednimi pytaniami powinna spełnić tu swoją rolę w przeważającej części. RODO nie narzuca obowiązku prowadzenia takiej checklisty, ale na pewno będzie ona nie tylko jakąś podstawą do weryfikacji procesora, ale pomoże nam w pewnym stopniu spełnić zasadę rozliczalności przy jego wyborze. Jakie pytania zadać? Wachlarz pytań może być bardzo różny, ale powinien być nakierowany w pierwszej kolejności na to czy procesor w ogóle wie czym jest ochrona danych osobowych i czy w swojej organizacji wdrożył odpowiednie reguły. Pytaniem, które czasem warto zadać potencjalnemu procesorowi jest pytanie z gatunku pozornie bezsensownych np. „Czy w przypadku zaistnienia incydentu dotyczącego danych osobowych w organizacji stosowana jest procedura czy proces?” Bezsensowność tego pytania sprowadza się do takiego samego sensu (a w zasadzie jego braku) w pytaniu: „Co jest cięższe? Kilogram pierza czy kilogram gwoździ?” i tę bezsensowność przygotowany do stosowania RODO procesor powinien szybko wychwycić, a wręcz ją wytknąć. Odpowiedzi z gatunku: „Proces” albo „Procedura” bez głębszego uzasadnienia, mogą postawić pod znakiem zapytania, czy procesor zrozumiał, o co chodzi w pytaniu.

Jednak najistotniejsze są najpoważniejsze kwestie, tj. prowadzenie rejestru kategorii czynności przetwarzania, stosowanie technicznych i organizacyjnych zabezpieczeń (choć procesor nie ma obowiązku ich szczegółowego opisywania, jeżeli nie dochodzi jeszcze do zawarcia umowy), stosowanie upoważnień dla personelu, współpraca z dotychczasowymi administratorami przy odpowiadaniu na żądania osób, współpraca przy zgłaszaniu naruszeń. Uwaga praktyczna: z pewnością należy unikać takich procesorów, którzy od razu chwalą się tym, że zgłaszają naruszenia za administratora. Podmiot przetwarzający nie ma takiego prawa, gdyż to ADO jest zobowiązany do oceny i zgłoszenia naruszenia. Procesor ma jedynie powiadomić ADO o naruszeniu bez zbędnej zwłoki.

Newralgiczną kwestią może być też samo negocjowanie i zawieranie umowy powierzenia. Takie umowy powinni zwykle przygotowywać i sporządzać administratorzy, gdyż to głównie oni odpowiadają za ich treść i zabezpieczenie swoich praw i obowiązków w zgodzie z RODO. Nie ulega jednak wątpliwości, że przygotowany procesor powinien zwykle dysponować własnym, choćby wstępnym, wzorem umowy powierzenia. Rzecz jasna taki wzór nie powinien być przekuwany na umowę z każdym administratorem, jednak posiadanie takiego dokumentu może świadczyć o minimalnym świadomości po stronie analizowanego procesora. Warto także obserwować procesora przy negocjowaniu umowy. Jeżeli procesor np. nie zgadza się na wpisanie prawa audytu (które przecież jest wymagane przez art. 28 ust. 3 lit. h RODO), to powinna zapalić się nam, może jeszcze nie czerwona, ale przynajmniej pomarańczowa lampka. Podobnie rzecz ma się z podpowierzeniem. Negocjacje i ustalenia dotyczące wyrażenia zgody ogólnej bądź szczegółowej to dobra okazja do sprawdzenia czy procesor ma świadomość swojej odpowiedzialności za podpowierzenie. Jeżeli ustalamy, że zgoda będzie udzielana na konkretne podmioty podprzetwarzające wymienione w załączniku do umowy powierzenia, ale procesor nie chce ujawnić tych podmiotów, to być może warto rozejrzeć się za kimś, kto bardziej wie, jaka jest jego rola w łańcuchu przetwarzania.

Nie bagatelizujmy sprawdzania procesów przez zawarciem umowy podstawowej. Pamiętajmy, że administrator odpowiada za wybór procesora i błędny wybór może prowadzić do odpowiedzialności na gruncie RODO.

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s