Administratorzy danych zobowiązani są do kontrolowania podmiotów, którym powierzają dane osobowe do przetwarzania (tzw. procesorów), nie tylko przed zawarciem umowy powierzenia przetwarzania, ale również w trakcie jej wykonywania.
Obowiązek ten wynika z art. 28 ust. 1 lit. h RODO, zgodnie z którym podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków nakładanych przez art. 28 RODO na procesora oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
Jak często przeprowadzać audyt podmiotów przetwarzających?
RODO nie wskazuje w jakim czasie administrator powinien dokonywać kontroli podmiotów przetwarzających. Wydaje się, że dobrym rozwiązaniem byłoby przyjęcie przez administratora planu sprawdzeń okresowych (np. po każdym roku obowiązywania umowy), które byłyby uzupełniane przez kontrole doraźne w szczególności w przypadku naruszenia ochrony danych.
W jaki sposób prowadzić kontrolę podmiotu przetwarzającego?
Administrator powinien zastosować takie środki kontroli, które pozwolą mu na rzeczywistą weryfikację spełniania przez procesora obowiązków wynikających z RODO. Zawarcie umowy powierzenia przetwarzania nie zdejmuje z administratora odpowiedzialności za dane osobowe, w jego interesie jest więc dbanie o to, by procesor przetwarzał dane osobowe w sposób zgodny z prawem i umową powierzenia przetwarzania.
Często stosowanym rozwiązaniem jest prowadzenie kontroli w postaci ankiety oceniającej lub wywiadu telefonicznego, ponieważ są one najmniej uciążliwe dla obu stron umowy. W razie konieczności, administrator jest jednak uprawniony również do przeprowadzenia inspekcji bezpośrednio u procesora. Takie działania są wskazane zwłaszcza w przypadku powierzenia przetwarzania danych osobowych o wysokim stopniu ryzyka (np. w przypadku przetwarzania tzw. danych wrażliwych).
Kto może prowadzić kontrolę u podmiotu przetwarzającego?
Administrator może samodzielnie wykonywać prawo do kontroli lub powierzyć przeprowadzenie audytu podmiotom zewnętrznym (np. w zakresie badania bezpieczeństwa stosowanych przez procesora systemów informatycznych). W przypadku zlecenia czynności kontrolnych, należy pamiętać o udzieleniu stosownego upoważnienia.
Czy umowa powierzenia przetwarzania może ograniczać prawo administratora do przeprowadzania kontroli?
W umowach powierzenia przetwarzania, oprócz standardowych zapisów dotyczących możliwości prowadzenia kontroli przez administratora, często zamieszcza się dodatkowe postanowienia regulujące sposób informowania o kontroli, czas jej trwania, a nawet rozliczania kosztów poniesionych w związku z audytem. W zależności od tego, która ze stron umowy ma silniejszą pozycję negocjacyjną, zapisy umowy mogą zniechęcać do prowadzenia kontroli lub ułatwiać jej przeprowadzenie.
Konstruując zasady przeprowadzania kontroli przez administratora należy pamiętać, że wprowadzone ustalenia (np. obowiązek informowania o planowanej kontroli, ograniczenie czasu jej trwania do określonej liczby dni, wprowadzenie maksymalnej liczby kontroli w danym roku) nie mogą w praktyce prowadzić do ograniczenia lub uniemożliwienia realizacji prawa kontroli przez administratora. Zgodnie z zaleceniami UODO, takie postanowienia umowy mogą zostać uznane za sprzeczne z RODO.
Dobrym pomysłem jest wskazanie bardziej szczegółowych zasad w przypadku audytów planowanych (np. obowiązek uprzedniego informowania o audycie, by procesor mógł odpowiednio zorganizować swoją pracę), przy jednoczesnym pozostawieniu administratorowi nieograniczonego prawa do przeprowadzania kontroli doraźnych - wszczynanych na podstawie podejrzenia wystąpienia naruszeń.
Kto ponosi koszty przeprowadzenia audytu podmiotu przetwarzającego?
RODO nie reguluje kwestii odpłatności za przeprowadzenie audytu, strony mogą więc uregulować tą kwestię dowolnie, pamiętając jednak, że wprowadzone rozwiązania nie mogą ograniczać prawa administratora do kontroli. Przykładowo, zastrzeżenie w umowie powierzenia przetwarzania stałej wysokiej opłaty na rzecz procesora za przeprowadzenie audytu może zostać uznane za naruszające prawo administratora do prowadzenia kontroli wynikające z RODO.
Jeżeli strony umowy decydują się na wprowadzenie odpłatności za przeprowadzenie audytu, bezpieczniejszym rozwiązaniem jest skorelowanie opłaty z rzeczywiście ponoszonymi kosztami.
Co jeżeli audyt ujawni nieprawidłowości?
Jeżeli w wyniku przeprowadzonego audytu okaże się, że dane osobowe są przetwarzane niezgodnie z prawem lub wbrew ustaleniom umowy powierzenia przetwarzania, należy jak najszybciej podjąć środki mające na celu zapobieżenie naruszeniom,w tym wydanie wytycznych procesorowi.
W treści umowy powierzenia przetwarzania administrator powinien zadbać o doprecyzowanie sposobu wykonania przez procesora zaleceń wynikających z audytu oraz konsekwencji nie zastosowania się do nich, oraz o wskazanie sytuacji, które upoważniają administratora do wypowiedzenia umowy ze skutkiem natychmiastowym (np. w przypadku transferu powierzonych danych osobowych do państwa trzeciego bez zastosowania wymaganych zabezpieczeń).
O czym jeszcze należy pamiętać?
Administrator zgodnie z zasadą rozliczalności, powinien mieć możliwość wykazania realizacji obowiązków wynikających z RODO, w tym obowiązku kontroli. Przeprowadzony audyt, niezależnie od formy, warto więc udokumentować np. poprzez sporządzenie protokołu z kontroli lub chociażby notatki służbowej.
Warto również zastanowić się nad wprowadzeniem w umowie powierzenia przetwarzania klauzuli poufności obejmującej informacje uzyskane w trakcie przeprowadzenia audytu.
