Jak weryfikować procesora, aby mieć pewność, że dane naszych klientów są bezpieczne?

Jak weryfikować procesora, aby mieć pewność, że dane naszych klientów są bezpieczne?

Daniel Rybarczyk
Radca Prawny, RK RODO

Nie jest niczym nowym, że administrator odpowiada za wybór podmiotu przetwarzającego. Taka odpowiedzialność wynika z art. 28 ust. 1 RODO. Często administrator ma bardzo wąskie pole do manewru, jeśli chodzi o wybór procesora czy też narzucenie mu „swojej woli” w zakresie postanowień umowy powierzenia. Niejednokrotnie to administrator jest w ekonomicznie o wiele słabszej pozycji aniżeli wielcy dostawcy usług (w szczególności ci międzynarodowi), z którymi nie tylko niemalże niemożliwe jest ustalenie indywidualnych warunków przetwarzania oraz obowiązków procesora, ale nawet zawarcie samej umowy powierzenia.

Jednak dzisiaj nie o tym – przyjmijmy, że pozycja administratora i procesora jest w miarę równa i administrator rzeczywiście ma ekonomiczny i organizacyjny wpływ na określenie postanowień umowy powierzenia oraz wybór odpowiedniego procesora. Na co należy więc zwrócić uwagę?

Pierwszym krokiem powinna być sama weryfikacja biznesowa naszego kontrahenta. Musimy najpierw po prostu chcieć nawiązać z nim współpracę. Niby banał, ale każdorazowo, gdy zawieramy z kimś umowę zasięgamy opinii albo czytamy je w Internecie. Wbrew pozorom, takie opinie bardzo często mogą nam już coś powiedzieć o stosowaniu przez potencjalnego procesora wymogów RODO. Jeżeli w powtarzających się opiniach czytamy, że firma jest nierzetelna, dochodzi u niej do częstych awarii, braku dostępności usługi, to może nam to dać do myślenia, czy aby na pewno proces organizacyjny u naszego badanego procesora jest odpowiednio ułożony.

Drugi krok to już same negocjacje umowne. Z pewnością trzeba w nie wpleść sprawdzenie wiarygodności podwykonawcy jako procesora. Checklista z odpowiednimi pytaniami powinna spełnić tu swoją rolę w przeważającej części. RODO nie narzuca obowiązku prowadzenia takiej checklisty, ale na pewno będzie ona nie tylko jakąś podstawą do weryfikacji procesora, ale pomoże nam w pewnym stopniu spełnić zasadę rozliczalności przy jego wyborze. Sądy i organy oceniając, czy numer telefonu to dana osobowa spierają się głównie o to, czy numer telefonu umożliwia identyfikację, czy też nie. Prezes Urzędu Ochrony Danych Osobowych w wielu decyzjach podkreśla, że pozwala on bardzo łatwo ustalić inne dane osoby.

Jakie pytania zadać? Wachlarz pytań może być bardzo różny, ale powinien być nakierowany w pierwszej kolejności na to czy procesor w ogóle wie czym jest ochrona danych osobowych i czy w swojej organizacji wdrożył odpowiednie reguły.

Najistotniejsze są absolutnie podstawowe kwestie, tj. prowadzenie rejestru kategorii czynności przetwarzania, stosowanie technicznych i organizacyjnych zabezpieczeń (choć procesor nie ma obowiązku ich szczegółowego opisywania, jeżeli nie dochodzi jeszcze do zawarcia umowy), stosowanie upoważnień dla personelu, współpraca z dotychczasowymi administratorami przy odpowiadaniu na żądania osób, współpraca przy zgłaszaniu naruszeń. Uwaga praktyczna: z pewnością należy unikać takich procesorów, którzy od razu chwalą się tym, że zgłaszają naruszenia za administratora. Podmiot przetwarzający nie ma takiego prawa, gdyż to administrator jest zobowiązany do oceny i zgłoszenia naruszenia. Procesor ma jedynie powiadomić administratora o naruszeniu bez zbędnej zwłoki; ewentualnie może dokonać oceny naruszenia, ale nie jest ona wiążącą dla administratora.

Newralgiczną kwestią może być też samo negocjowanie i zawieranie umowy powierzenia. Teoretycznie takie umowy powinni zwykle przygotowywać i sporządzać administratorzy, gdyż to głównie oni odpowiadają za ich treść i zabezpieczenie swoich praw i obowiązków w zgodzie z RODO. Nie ulega jednak wątpliwości, że przygotowany procesor powinien zwykle dysponować własnym, choćby wstępnym, wzorem umowy powierzenia – w końcu to on zna proces przetwarzania najlepiej. Rzecz jasna taki wzór nie powinien być przekuwany na umowę z każdym administratorem, jednak posiadanie takiego dokumentu może świadczyć o minimalnym poziomie świadomości po stronie analizowanego procesora. Warto także obserwować procesora przy negocjowaniu umowy. Jeżeli procesor np. nie zgadza się na wpisanie prawa audytu (które przecież jest wymagane przez art. 28 ust. 3 lit. h RODO), to powinna zapalić się nam, może jeszcze nie czerwona, ale przynajmniej pomarańczowa lampka. Podobnie rzecz ma się z podpowierzeniem. Negocjacje i ustalenia dotyczące wyrażenia zgody ogólnej bądź szczegółowej to dobra okazja do sprawdzenia czy procesor ma świadomość swojej odpowiedzialności za podpowierzenie. Jeżeli ustalamy, że zgoda będzie udzielana na konkretne podmioty podprzetwarzające wymienione w załączniku do umowy powierzenia, ale procesor nie chce ujawnić tych podmiotów, to być może warto rozejrzeć się za kimś, kto bardziej wie, jaka jest jego rola w łańcuchu przetwarzania.

Nie bagatelizujmy sprawdzania procesów przez zawarciem umowy podstawowej. Pamiętajmy, że administrator odpowiada za wybór procesora i błędny wybór może prowadzić do odpowiedzialności na gruncie RODO.