Edmund Saunders

Edmund Saunders Patrz bio

Temat: Jak kontrolować podmiot przetwarzający?

Jak kontrolować podmiot przetwarzający?

Każdy administrator powierzający przetwarzanie danych osobowych innym podmiotom zgodnie z art. 28 ust. 3 lit. h RODO, powinien, a wręcz jest zobowiązany do ich kontrolowania. Obowiązek ten wynika z faktu, że to właśnie administrator odpowiada za przestrzeganie prawa w zakresie przetwarzania danych osobowych, a zgodnie z zasadą rozliczalności musi to też wykazać. Istotne jest, że zasada ta znajduje zastosowanie do przetwarzania realizowanego samodzielnie przez administratora, jak i podmiotów, którym administrator dane powierza na podstawie umowy powierzenia przetwarzania danych.

Czy kontroli muszą dokonać pracownicy administratora?
Odpowiedź na to pytanie brzmi NIE. RODO daje administratorom dużą dowolność w doborze audytorów. Zgodnie z art. 28. Ust. 3 lit. h podmiot przetwarzający „umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich”. Tak więc administrator może przeprowadzić kontrolę we własnym zakresie, wykorzystując zasoby wewnętrzne lub zlecić tą usługę innemu podmiotowi.

Jakie obszary można kontrolować w podmiocie przetwarzającym? ...
Kiedy można dokonać kontroli? ...

Weryfikacja podmiotu przetwarzającego powinna się odbyć przed rozpoczęciem współpracy, tak aby administrator mógł wybrać podmiot zapewniający odpowiednie gwarancje w szczególności, jeśli chodzi o wiedzę fachową, wiarygodność i zasoby oraz wdrożone środki techniczne i organizacyjne, które odpowiadają wymogom RODO.
Administrator ma także prawo kontroli podmiotu przetwarzającego w całym czasie trwania umowy. Kontrole mogą być planowane lub przeprowadzane doraźnie, np. w przypadku naruszenia zasad ochrony danych osobowych.

Tak więc jak wskazano powyżej, kontrole podmiotu przetwarzającego są obowiązkowe, zaleca się, aby były przeprowadzane cyklicznie, a swym zakresem nie powinny wykraczać poza czynności związane z przetwarzaniem danych osobowych przekazanych przez administratora. Jeżeli dane powierzamy wielu podmiotom przetwarzającym, należy zastanowić się nad kwestą odpowiedniego zaplanowania kontroli, tak mieć pewność, każdy z nich przetwarza dane zgodnie umową powierzenia oraz RODO.

Weronika Stachowiak
Konsultant ds.ochrony danych osobowych w PBSG SA
https://www.pbsg.pl/jak-kontrolowac-podmiot-przetwarzaj...
Link do wypowiedziLink