Subskrybuj: Posty | Komentarze

Audyt giodo u podmiotu, któremu powierzono przetwarzanie danych osobowych

Audyt giodo u podmiotu, któremu powierzono przetwarzanie danych osobowych

Administratorzy danych osobowych, czyli podmioty które przetwarzają dane osobowe na zasadach wskazanych w art. 7 pkt. 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych – dalej uodo, czyli decydując o celach i środkach przetwarzania danych osobowych, niejednokrotnie decydują się na powierzenie przetwarzania danych osobowych podmiotom trzecim (procesorom).

W celu skorzystania z usługi podmiotu trzeciego, z którą wiąże się przekazanie danych osobowych (np. pracowników, klientów, marketingowych) administratorzy danych osobowych posługują się dyspozycją art. 31 uodo i obok umowy głównej – podpisują umowę o powierzenie przetwarzania danych osobowych, w której określony jest przede wszystkim cel i zakres powierzonych do przetwarzania danych osobowych. W praktyce procesorami są najczęściej firmy księgowe, rekrutacyjne, marketingowe, czy hostingowe. Dla tych firm zakres świadczonych przez nie usług jest nieoderwalnie związany z pracą na danych osobowych zleceniodawcy.

Administrator danych osobowych powierzając dane osobowe podmiotowi trzeciemu nie zwalnia się z odpowiedzialności za stosowanie przepisów prawa i w konsekwencji ponosi pełną odpowiedzialność, w tym odpowiedzialność karną przewidzianą w ustawie o ochronie danych osobowych. Zgodnie z art. 31 ust. 4 uodo jest on bowiem w dalszym ciągu odpowiedzialny za powierzone dane osobowe, co nie wyłącza odpowiedzialności podmiotu, któremu dane zostały powierzone do przetwarzania. Artykuł 31 ust. 5 uodo, wskazuje jednocześnie, iż do kontroli giodo, podmiotu, któremu powierzono przetwarzanie danych osobowych, przeprowadzanej przez inspektorów Generalnego Inspektora Ochrony Danych Osobowych – stosuje się przepisy ogólne – tj. art. 14-19 uodo. Sama ustawa o ochronie danych osobowych zobowiązuje procesora aby przed rozpoczęciem przetwarzania danych osobowych podjął środki zabezpieczające zbiór danych, o których mowa w art. 36-39 uodo, oraz spełnił wymagania określone w przepisach, o których mowa w art. 39 a uodo.

Dążąc do zabezpieczenia interesów administratora danych osobowych – wprowadza się do umów powierzenia zapisy o jakości świadczonych przez procesora usług w kontekście bezpieczeństwa informacji. Najczęściej zapisy odwołują się do konieczności przestrzegania przepisów ustawy o ochronie danych osobowych, jak również rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Dodatkowym, często spotykanym i zalecanym jest wprowadzenie do umowy zapisów o możliwości przeprowadzenia przez administratora danych osobowych w siedzibie procesora audytu giodo tj. sprawdzenia, czy procesor rzeczywiście przetwarza powierzone mu dane osobowe zgodnie z umową i ze wskazanymi w niej standardami. Takie zapisy do umowy działają z pewnością dyscyplinująco. Jednakże coraz częściej podmioty, które widzą duże ryzyko dla swoich działalności w potencjalnych awariach bezpieczeństwa danych osobowych i w tym celu dysponują w swoich strukturach profesjonalnymi administratorami bezpieczeństwa informacji, czy nawet całymi działami bezpieczeństwa informacji – decydują się na skorzystanie z wprowadzonych do umowy zapisów o kontroli giodo i rzeczywiście ją odbywają. Taka kontrola dla przygotowanego i solidnego procesora nie powinna stanowić żadnego dyskomfortu. Powinien on jednak zapewnić aby przy jej okazji nie doszło do udostępnienia kontrolującym danych również innych podmiotów, ponieważ zwykle procesor przetwarza dane osobowe kilku podmiotów jednocześnie.