Przejdź do treści
Strona główna » Artykuły » Jak skutecznie przeprowadzić weryfikację podmiotów przetwarzających pod kątem RODO? Przykładowa lista pytań

Jak skutecznie przeprowadzić weryfikację podmiotów przetwarzających pod kątem RODO? Przykładowa lista pytań

W codziennym prowadzeniu działalności wiele firm korzysta z rozwiązań wspierających, takich jak platformy chmurowe, narzędzia do zarządzania dokumentacją, komunikatory internetowe czy aplikacje umożliwiające fakturowanie i zarządzanie zadaniami. Każda z tych usług jest obsługiwana przez zewnętrznego dostawcę, który może mieć dostęp do przetwarzanych danych osobowych. Z racji tego, że firmy te często przetwarzają dane na zlecenie, zgodność z RODO staje się niezbędna. Rozporządzenie wymaga, aby administrator danych sprawdził, czy partnerzy i podwykonawcy spełniają odpowiednie standardy ochrony, zapewniając bezpieczeństwo i zgodność przetwarzania danych z przepisami.

Role w przetwarzaniu danych według RODO

Zanim omówimy, jak dokonać oceny kontrahenta, przypomnijmy podstawowe role w procesie przetwarzania danych:

  • Administrator: to podmiot, który ustala cele i sposoby przetwarzania danych osobowych.
  • Podmiot przetwarzający (procesor): przetwarza dane osobowe w imieniu administratora, nie decydując o celu ani sposobie przetwarzania.

Przykładem typowego powierzenia przetwarzania danych jest korzystanie z zewnętrznej przestrzeni dyskowej w chmurze, współpraca z biurem księgowym czy zlecenie niszczenia dokumentów zewnętrznej firmie. Każda taka sytuacja wymaga odpowiednich działań, aby zapewnić zgodność z przepisami RODO.

Krok po kroku: jak sprawdzić zgodność kontrahenta z RODO?

Zgodnie z art. 28 ust. 1 RODO, administrator może korzystać z usług podmiotu przetwarzającego tylko, jeśli ten zapewnia wystarczające gwarancje wdrożenia środków technicznych i organizacyjnych, by chronić dane osobowe zgodnie z przepisami. Kluczowe pytanie brzmi: jak sprawdzić, czy procesor spełnia wymagania RODO?

1. Kwestionariusz weryfikacyjny

Najbardziej praktycznym rozwiązaniem jest wysłanie potencjalnemu kontrahentowi kwestionariusza zgodności z RODO, który pozwoli poznać jego procedury ochrony danych osobowych. Taki preaudyt obejmuje różne obszary – od technicznych zabezpieczeń po zgodność z wymogami prawnymi. Alternatywnie można dokonać ręcznej weryfikacji kontrahenta na podstawie dostępnych informacji (szczególnie przy większych dostawcach często znajdziemy je w sekcji „Trust Center”).

2. Na co zwrócić uwagę przy ocenie kontrahenta?

Przy ocenie kontrahenta kluczowe są konkretne dowody jego zgodności z RODO – zwykła deklaracja „jesteśmy zgodni z RODO” nie wystarcza. Poniżej przedstawiamy przykładową listę pytań, które warto zadać, aby uzyskać obraz stosowanych zabezpieczeń.

Przykładowa lista pytań do kwestionariusza

Informacje podstawowe

  1. Czy prowadzą Państwo działalność zgodną z RODO i jakie działania wdrożyli Państwo, aby zapewnić ochronę danych?
  2. Czy wyznaczyli Państwo Inspektora Ochrony Danych (IOD), jeżeli jest to wymagane przepisami prawa?
  3. Czy posiadają Państwo udokumentowany system zarządzania bezpieczeństwem informacji, np. zgodny z normą ISO 27001?

Środki techniczne i organizacyjne

  1. Czy stosują Państwo szyfrowanie danych w tranzycie i w spoczynku?
  2. Jak zarządzają Państwo dostępem do danych (np. poprzez role i uprawnienia, wieloskładnikowe uwierzytelnianie)?
  3. Czy regularnie przeprowadzają Państwo testy bezpieczeństwa, takie jak testy penetracyjne?
  4. Czy prowadzą Państwo rejestr czynności przetwarzania danych oraz rejestr naruszeń?

Przetwarzanie danych i przestrzeganie zasad RODO

  1. Jakie procedury wdrożyli Państwo w celu minimalizacji zakresu przetwarzanych danych?
  2. Czy regularnie szkolą Państwo swoich pracowników w zakresie ochrony danych osobowych i RODO?
  3. Czy mają Państwo wdrożoną procedurę zgłaszania incydentów związanych z ochroną danych osobowych, w tym także do administratora danych?

Umowy powierzenia przetwarzania

  1. Czy są Państwo gotowi zawrzeć z nami umowę powierzenia przetwarzania danych zgodną z RODO?
  2. Czy posiadają Państwo wzór umowy powierzenia, który szczegółowo określa zakres, cel i czas trwania przetwarzania danych?
  3. Czy umowa obejmuje klauzule współpracy podczas ewentualnych audytów i kontroli administratora?

Subprocesorzy (podwykonawcy)

  1. Czy korzystają Państwo z podwykonawców, którzy mają dostęp do powierzonych przez nas danych osobowych?
  2. Czy każdy podwykonawca jest zobligowany do spełnienia tych samych standardów ochrony danych, jakie określono w umowie z administratorem?
  3. Czy mogą Państwo zapewnić, że każdy subprocesor spełnia wymagania RODO, w tym poprzez udokumentowane audyty lub certyfikaty?

Zarządzanie incydentami i reakcja na naruszenia

  1. Czy posiadają Państwo udokumentowane procedury reagowania na incydenty?
  2. Jak szybko zobowiązują się Państwo do poinformowania administratora o naruszeniu danych?
  3. Czy mogą Państwo udokumentować swoje procedury reagowania na wypadek incydentu?

Dokumenty, na które warto zwrócić uwagę:

Podczas weryfikacji ważne są także dostępne dokumenty, takie jak:

  • Certyfikaty ISO 27001, SOC 2 Type II,
  • Raporty audytowe,
  • Opisy stosowanych środków bezpieczeństwa, np. szyfrowania danych, logowania zdarzeń, wykonywania kopii zapasowych.

Podsumowanie: weryfikacja to obowiązek, nie opcja

Weryfikacja kontrahenta przed powierzeniem mu przetwarzania danych osobowych jest obowiązkiem wynikającym z RODO. Należy ją przeprowadzić, zanim jeszcze dane zostaną faktycznie powierzone do przetwarzania, a brak takiej weryfikacji stanowi naruszenie przepisów i może skutkować karą od Prezesa Urzędu Ochrony Danych Osobowych (PUODO).