Temat: Zakres kontroli ADO u Procesora

Szanowni Państwo, jestem na etapie weryfikowania aneksów/umów powierzenia a precyzyjniej chodzi o zapisy o kontrolowaniu i sprawdzaniu Procesora /głównie system informatyczny i reszta infrastruktury/. Ja jestem w tej konkretnej sytuacji z punktu widzenia Procesora. Być może ktoś z Państwa ma bardziej praktyczny punkt widzenia i moglibyśmy w tym wątku podyskutować do jakich czynności w praktyce możemy dopuścić Administratora. W rzeczonych umowach Administratorzy życzą sobie dostępu do obszarów i systemów informatycznych Procesora, oczywiście w obecności jego personelu. Tego dostępu oczywiście nie precyzują a ja się jedynie domyślam. Inny ADO z kolei życzy sobie planowanych i doraźnych kontroli, oględzin miejsc i systemów informatycznych. No i w porządku...umowę pisał prawnik a teraz przejdźmy do praktyki. Czy takie oględziny i kontrole to wycieczka "krajoznawcza" po obiektach/serwerowniach Procesora? A dostęp ADO do systemu informatycznego Procesora czym będzie? Weryfikacją legalności oprogramowania i audytem zabezpieczeń czy podziwianiem szafy serwerowej i systemu gaszenia pożaru? Może mnie poniosło ale kto wie co będzie się działo za niecałe 4 tygodnie :) Proszę podzielcie się wrażeniami.

Temat: Zakres kontroli ADO u Procesora

Jeszcze nikt nie wie jak to będzie w praktyce. Obecnie jest etap poprawiania/robienia dokumentacji.
ADO może powierzyć procesorowi przetwarzania d.o. o ile procesor zapewni wystarczające gwarancje przestrzegania rodo (28.1).
I tu już pojawia się wątpliwość - co oznacza "wystarczająca gwarancja"; wobec braku legalnej definicji tego zwrotu, należy uwzględniać analizę celowościową; dobrym rozwiązaniem może być odpowiedni zapis w umowie powierzenia.
ADO ma obowiązek sporządzenia umowy powierzenia na piśmie (28.9).
Umowa ma w szczególności=co najmniej określać (28.3.):
- przetwarzanie d.o. wyłącznie na udokumentowane polecenie ADO w umowie warto doprecyzować co oznacza 'udokumentowane',
- zapewnienie zachowania tajemnicy to również w umowie winno być opisane co będzie uznane za spełnienie tego wymogu,
- zobowiązanie się procesora do podejmowania środków wymaganych art.32
- możliwości podpowierzania i warunków jakie ma spełnić podprocesor,
- mając na uwadze charakter przetwarzania, w miarę możliwości (procesora) pomoc ADO w wywiązaniu się z obowiązku odpowiadania na żądanie osoby której dane są przetwarzane,
- pomoc ADO wywiązać się ADO z obowiązków art.32-36,
- czasu w jakim powierzone dane osobowe zostaną usunięte,
- udostępnia ADO informacji niezbędnych do wykazania spełnienia obowiązków rodo
Procesor udostępnia TYLKO informacje
- tryb i warunki przeprowadzanie przez ADO audytów, w tym inspekcji i przyczynienia się do nich,
- informowanie ADO, że polecenie wydane przez ADO stanowi (wg. procesora) naruszenie rodo = odmowa realizacji
Umowa może zawierać i inne postanowienia. Jednak powyższe punkty są obligatoryjne i stanowią dla ADO potwierdzenie spełnienia rodo wobec d.o. powierzonych.

Prawdopodobnie solą w oku wielu procesorów jest obowiązek poddania się audytowi. Poddanie się audytowi nie oznacza automatycznie, że ADO będzie miał nieograniczony dostęp do wszelkich informacji jakie posiada procesor.
ADO może przeprowadzić inspekcję tylko tych obszarów gdzie przetwarzane są powierzone d.o. Może to być w formie oględzin (jak to napisałaś "wycieczka krajoznawcza") miejsca lub dokumentacji związanej z przetwarzaniem powierzonych d.o.
Mało prawdopodobne jest by ADO domagał się przeprowadzania testów w środowisku produkcyjnym (to znaczy, może się domagać jako sprawdzenia uległości ale procesor winien odmówić). Procesor winien mieć opracowane odpowiednie polityki/dokumentację regulującą np. dostęp do serwerowni (kto, kiedy, na jakich zasadach), dostęp do dokumentacji, czy wręcz politykę audytu danych powierzonych.

Na koniec. ADO w ramach powierzenia wolno dużo. Dużo, to nie to samo co wszystko. ADO nie może 'szarogęsić się' u procesora. Może robić tylko tyle na ile strony się umówiły. Dlatego umowę powierzenia winna dokładnie przeczytać i przeanalizować służba prawna procesora i umieścić tam takie zapisy, które będą ich chroniły.

Temat: Zakres kontroli ADO u Procesora

Na koniec. ADO w ramach powierzenia wolno dużo. Dużo, to nie to samo co wszystko. ADO nie może 'szarogęsić się' u procesora. Może robić tylko tyle na ile strony się umówiły. Dlatego umowę powierzenia winna dokładnie przeczytać i przeanalizować służba prawna procesora i umieścić tam takie zapisy, które będą ich chroniły.

Panie Radosławie pogląd mam podobny. Na razie przypatruję się starciu prawników po obu stronach. Na etapie jednej umowy z dużym ubezpieczycielem już wiadomo, że sami nie wiedzą do czego chcą mieć dostęp i dodaliśmy zapis o tym, że ADO każdorazowo przed takim audytem przedstawi ramowy plan czynności a Procesor się do tego odniesie. Niewiele to prawdopodobnie zmieni jak tylko odsunie w czasie konkrety.
W przypadku reszty umów walczymy dzielnie i dobra wola na razie towarzyszy obu stronom.

Dziękuję uprzejmie za wypowiedź.

Temat: Zakres kontroli ADO u Procesora

Z TU będzie 'tor z przeszkodami'.
Pracodawca ma swoje dane, oni swoje. A gdzieś pomiędzy jest pracownik.

Być może warto rozpisać na czynniki pierwsze cały proces ubezpieczeń. Kto, co, u kogo, robi i na czyją rzecz. (pomysłowość ludzka nie zna granic) Kto komu i jakie d.o. przekazuje i po co.

Temat: Zakres kontroli ADO u Procesora

Radosław Z.:
Z TU będzie 'tor z przeszkodami'.
Pracodawca ma swoje dane, oni swoje. A gdzieś pomiędzy jest pracownik.

Być może warto rozpisać na czynniki pierwsze cały proces ubezpieczeń. Kto, co, u kogo, robi i na czyją rzecz. (pomysłowość ludzka nie zna granic) Kto komu i jakie d.o. przekazuje i po co.

To jest autentyczna paranoja w temacie TU. Mam ich na tapecie około 10-ciu. Rozpisać to wszystko oznacza konieczność wizyty u psychiatry :)
Dalej idąc..potwierdzanie telefoniczne przez rejestratorki pacjentów u takich ubezpieczycieli..chcemy wypracować z nimi rozwiązanie inne niż rozmowa telefoniczna, ewentualnie zaprojektować rozwiązanie/mapę anonimizacji pacjenta. Zobaczymy co czas przyniesie.Ten post został edytowany przez Autora dnia 26.04.18 o godzinie 13:08

Temat: Zakres kontroli ADO u Procesora

Justyna K.:
starciu prawników po obu stronach. Na etapie jednej umowy z dużym ubezpieczycielem już wiadomo, że sami nie wiedzą do czego chcą mieć dostęp i dodaliśmy zapis o tym, że ADO każdorazowo przed takim audytem przedstawi ramowy plan czynności a Procesor się do tego odniesie.

Ja tu w ogóle nie widzę powierzenia.