GoldenLine
Zaloguj się
Marek Popiel

Marek Popiel ochroniarz danych

Temat: firmy świadczące usługi audytu/certyfikacji - procesorzy...

Jak podchodzicie do firm świadczących usługi audytu i certyfikacji na zgodność z różnymi normami (9001 itd. itp.)?

Znam przypadki kiedy audytor zaglądał w dokumenty zawierające dane osobowe (np. umowy z kontrahentami lub zakresy obowiązków wybranych pracowników).

Czy dokumenty te powinny być anonimizowane przed ich udostępnieniem?
W niektórych przypadkach trudno mi sobie wyobrazić skuteczność takiego działania - np. jeżeli audytor zagląda w zakres obowiązków osób, których dane z różnych względów są upublicznione to łatwo mu jest powiązać informacje dotyczące osoby na określonym stanowisku z konkretną osobą.

Jeżeli uznać, że audytor ma prawo wglądu w dane osobowe to czy firmę która go zatrudnia uznać za procesora czy za administratora?
Wg mojej oceny jest procesorem, ponieważ cele i sposoby przetwarzania (posługując się definicją RODO) ustala moim zdaniem jednak zleceniodawca (czyli podmiot, który wynajmuje firmę świadczącą usługi audytu/certyfikacji).
Z drugiej strony, jak dotąd nie widziałem umowy z tego typu firmą, która zawierałaby klauzule powierzenia...
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: firmy świadczące usługi audytu/certyfikacji - procesorzy...

No nie... No proszę... W tym maratonie z RODO na początku miałem "isowczyków". Zalecenie moje: Bezwzględnie albo w trybie "wewnętrznym" (po swojemu obrobieni), albo powierzeniem.

Absolutnie żadnej innej możliwości (ojej, ortodoks się robię). Tym bardziej, jeśli masz dobór próby i wybierasz sobie kogoś do rozmowy. Wywiady - dokumentacja z wywiadów, z zapisanym imieniem i nazwiskiem, z kim gadałeś. Foto - jak były niezgodności, wprost dane pracowników. Nawet prosta lista kontaktowa, z kim gadasz, harmonogram spotkań - z kim będziesz. Nawet wymiana maila, bo przecież możesz mieć jeszcze dopytanie i trzeba maila wysłać.

Nie no nie da się...
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: firmy świadczące usługi audytu/certyfikacji - procesorzy...

Z tym mam problem taki, czy każda firma audytorska może te dane po audycie trwale usunąć. Co jeśli na wypadek ewentualnych roszczeń będzie chciała przechowywać dokumentację audytu, aż upłynie okres przedawnienia?
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: firmy świadczące usługi audytu/certyfikacji - procesorzy...

Zawarte w umowie o audyt lub zleceniu. Podstaw szukać w metodycznej normie ISO 19011.
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: firmy świadczące usługi audytu/certyfikacji - procesorzy...

Moje pytanie wynikało z tego, że od jednego z klientów dostałem do zaopiniowania 2 umowy z firmą certyfikującą na zgodność m.in. z ISO 9001. Oferent to spółka stanowiąca część międzynarodowej organizacji zajmującej się audytami i certyfikację. Umowy liczą po 8 stron gęsto zapisanych tekstem, przewidują mnóstwo różnych sytuacji i odnoszą się do różnych niuansów wykonania przedmiotu umowy. Jeżeli chodzi np. o kwestie zrzekania się odpowiedzialności to myślę, że można się z nich nauczyć wszystkiego na ten temat :-D

Problem w tym, że w tych umowach nie pada ani razu sformułowanie "dane osobowe". Po za ogólnym zapisem zobowiązującym do zachowania poufności przez obie strony umowy nie ma tam w zasadzie nic co dałoby się odnieść do kwestii ochrony danych osobowych...

Generalnie wiem co o tym sądzić, ale jak widzę umowę, której autorzy prawdopodobnie wyprzedzają mnie o lata świetlne jeżeli chodzi o wiedzę i doświadczenie prawnicze, to zaczynam się zastanawiać czy ja czegoś nie wiem, czy też na prawdę oni nie słyszeli o ODO.Ten post został edytowany przez Autora dnia 22.02.18 o godzinie 19:56
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: firmy świadczące usługi audytu/certyfikacji - procesorzy...

Opcja 2. Od 2010 roku, gdy prawnik przyszedł i powiedział - Weź mi Grzechu powiedz o co z tymi danymi chodzi.
Poparte kolejnym. I kolejnym. RODO i dane to nie problem prawniczy. ;-)
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: firmy świadczące usługi audytu/certyfikacji - procesorzy...

Marek P.:
Generalnie wiem co o tym sądzić, ale jak widzę umowę, której autorzy prawdopodobnie wyprzedzają mnie o lata świetlne jeżeli chodzi o wiedzę i doświadczenie prawnicze
Wystarczy, że będziesz wiedział, jakie kwestie musi regulować ta umowa z punktu widzenia RODO. I dajesz do prawnika - niech zaopiniuje: zawiera czy nie, no i w jakim stopniu zabezpiecza interesy administratora danych, np. czy wystarczająco jasno definiuje cele i zakres przetwarzania, czy przewiduje odpowiedzialność regresową procesora itd.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj