Logo biura

Infolinia Urzędu 606-950-000

Infolinia Urzędu 606-950-000

Czy administrator musi kontrolować podmiot przetwarzający?

W związku z nadchodzącą kontrolą podmiotu przetwarzającego przez administratora, u którego sprawuję funkcję IOD, pojawiły się spory związane z interpretacją przepisu art. 28 ust. 3 lit. h RODO. Dlatego proszę o wskazówki, jak podmiot przetwarzający ma zrealizować i wykazywać spełnienie obowiązków wynikających z RODO przed administratorem. W szczególności, czy administrator realizując prawo kontroli podmiotu przetwarzającego wynikającego z umowy powierzenia danych może żądać od podmiotu przetwarzającego wglądu do wewnętrznej dokumentacji bezpieczeństwa.

Zgodnie z wyrażoną w art. 5 ust. 2 RODO zasadą rozliczalności, administrator jest odpowiedzialny za przestrzeganie przepisów prawa i musi być w stanie wykazać ich przestrzeganie. Co ważne, zasada ta ma zastosowanie zarówno do przetwarzania realizowanego samodzielnie przez administratora, jak i przetwarzania w jego imieniu przez podmiot przetwarzający. Obowiązkiem administratora jest zadbanie o to, by korzystać z usług tylko takiego podmiotu przetwarzającego, który zapewnia wystarczające gwarancje – w szczególności jeśli chodzi o wiedzę fachową, wiarygodność i zasoby - wdrożenia środków technicznych i organizacyjnych, które odpowiadają wymogom RODO, w tym wymogom bezpieczeństwa przetwarzania i chronią prawa osób, których dotyczą (art. 28 ust. 1 RODO i motyw 81 RODO). Administrator musi więc szczególnie starannie zweryfikować, czy podmiot, któremu zamierza on powierzyć przetwarzanie danych osobowych, dysponuje koniecznymi w tym celu środkami i daje odpowiednie gwarancje przestrzegania obowiązujących przepisów prawa.

W związku z tym administrator powinien mieć możliwość sprawdzenia komu powierza dane osobowe oraz w jaki sposób będą one przetwarzane. Prawo dostępu do takich informacji oraz przeprowadzania audytów przysługuje administratorowi również w trakcie realizacji umowy powierzenia. W tym celu w art. 28 ust. 3 lit. h RODO na podmiot przetwarzający zostały nałożone obowiązki udostępniania administratorowi wszelkich informacji potwierdzających spełnienie wymogów RODO, a także umożliwienia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczyniania się do nich.

Administrator jest bowiem zobowiązany do stałej kontroli, czy podmiot przetwarzający przetwarza dane zgodnie z prawem. Kontrole te mogą być przeprowadzane również doraźnie np. w przypadku wystąpienia naruszenia ochrony powierzonych danych osobowych. Zatem jakiekolwiek inne postanowienia umowy powierzenia, które w istocie ograniczały ww. prawa administratora należałoby uznać za niezgodne z RODO. Podobnie należy ocenić utrudnianie lub ograniczanie administratorowi możliwości przeprowadzania kontroli u podmiotu przetwarzającego lub ograniczanie jej zakresu.

2019-10-07 Metadane artykułu
Podmiot udostępniający: Zespół Współpracy z Administratorami Danych
Wytworzył informację: Monika Młotkiewicz 2019-10-07
Wprowadził‚ informację: Edyta Madziar 2019-10-07 13:10:36
Ostatnio modyfikował: Edyta Madziar 2019-10-07 13:38:05