Czy ABI może przeprowadzić audyt u procesora

Autor: Piotr Janiszewski
Data: 13-03-2016 r.

Przed zawarciem umowy powierzenia przetwarzania danych osobowych warto zastanowić się czy podmiot, któremu powierzymy dane, będzie w stanie je odpowiednio zabezpieczyć. Kolejnym krokiem po podjęciu decyzji o powierzeniu powinno być określenie obowiązków, jakie ciążą na stronach umowy. Dzięki temu możemy zmniejszyć ryzyko wystąpienia incydentów godzących w bezpieczeństwo danych.

Podmiot, który powołał administratora bezpieczeństwa informacji, w ramach swojej działalności może mieć zawartych kilka umów powierzenia. Czy w takim przypadku administrator bezpieczeństwa informacji powinien objąć planem sprawdzenia również zbiory danych powierzone do przetwarzania na podstawie umów powierzenia? Bez wątpienia poprzez zawarcie umowy powierzenia dochodzi do przetwarzania danych osobowych. W takiej sytuacji zbiór danych, którego dotyczy określona umowa powierzenia, powinien zostać objęty planem sprawdzenia.

Czy objęcie zbioru danych, którego dotyczy umowa powierzenia, planem sprawdzenia wynika bezpośrednio z obowiązujących przepisów? Tak, sprawdzenie zgodności przetwarzania danych osobowych wynika z obwiązujących przepisów prawa. Jednak, aby administrator danych osobowych mógł dokonać sprawdzenia, takie uprawnienie powinno zostać dodatkowo zastrzeżone w samej umowie powierzenia. Tylko odpowiednie regulacje zawarte w umowie powierzenia pozwolą bezproblemowo przeprowadzić kontrolę u procesora.

Z puntu widzenia administratora danych, jako podmiotu, który dalej ponosi odpowiedzialność za dane osobowe, ważne jest dodanie do umowy powierzenia postanowień regulujących kontrolę zasad przetwarzania powierzonych danych osobowych. Jak powinno brzmieć takie uregulowanie, aby skutecznie określało obowiązki i uprawnienia każdej ze stron?

Często spotyka się następujący zapis dotyczący czynności kontrolnych:

„Podmiot A ma prawo do przeprowadzania kontroli zastosowanych przez Podmiot B sposobów ochrony powierzonych danych osobowych. Podmiot B ma obowiązek umożliwienia Podmiotowi A przeprowadzenia takiej kontroli niezwłocznie po wezwaniu.”

Takie postanowienie uprawnia do przeprowadzenia kontroli u procesora. Pojawia się jednak pytanie, czy sposób, w jaki zostało określone prawo do kontroli, jest wystarczający. Przywołana regulacja jest bowiem sformułowana bardzo ogólnie.

Kolejny aspekt, na który warto zwrócić uwagę to upoważnienie dla audytora do przeprowadzenia kontroli. Warto zastanowić się, jak będzie wyglądało i przede wszystkim co powinno zawierać.

Dość lakoniczne postanowienia umowne, które nie regulują szczegółowo tej kwestii, nasuwają pytanie, czy osoby, które pojawiają się celem przeprowadzenia audytu, faktycznie mogą go przeprowadzić i do jakiego zakresu informacji mogą mieć dostęp.

Warto pamiętać, że przedmiotem audytu nie powinna być cała dokumentacja, jaką dana jednostka posiada, lecz jedynie aspekty związane z przetwarzaniem danych powierzonych przez administratora danych osobowych.

Biorąc pod uwagę wszystkie okoliczności, warto zastanowić się jeszcze przed zawarciem umowy powierzenia, czy podmiot, któremu powierzymy dane osobowe, będzie w stanie je odpowiednio zabezpieczyć. W praktyce często dzieje się tak, że pomimo ochrony przewidzianej przez przepisy prawa warto uszczegółowić jeszcze kwestie kontrolne.

W sytuacji, gdy podejmiemy decyzję o powierzeniu danych osobowych, kolejnym krokiem powinno być określenie szczegółowo obowiązków, jakie ciążą na stronach takiej umowy. Dzięki temu możemy w przyszłości uniknąć zbędnych problemów oraz zmniejszyć ryzyko wystąpienia incydentów godzących w bezpieczeństwo danych osobowych.

Bez wątpienia przeprowadzenie czynności sprawdzających to jeden z obowiązków administratora bezpieczeństwa informacji. W przypadku gdy dana organizacja nie powołała administratora bezpieczeństwa informacji, czynności sprawdzających powinien dokonać sam administrator danych osobowych.

Tym samym ustawa o ochronie danych osobowych większość obowiązków, jakie nakłada na administratora bezpieczeństwa informacji (m.in. dokonanie sprawdzenia), w przypadku jego braku, przenosi na administratora danych. Brak przeprowadzenia takiej kontroli może skutkować naruszeniem art. 31, 36 i 38 ustawy o ochronie danych osobowych.

Piotr Janiszewski

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Opinie czytelników

data:

A czy podmiot (procesor), któremu administrator danych powierzył na podstawie umowy zawartej na piśmie przetwarzanie danych osobowych posiada aktualny ceryfikat ISO 27001, który przedłożył do warunków umowy "właściwej", to jaki jest sens dokonywania sprawdzeń (audytów) z tego zakresu przez powierzającego? Przecież ewentualne wykrycie niedociągnięć na polu bezpieczeństwa danych osobowych u procesor podważałoby wyniki audytu uprawnionego przez PCA podmiotu, który utrzymuje dla tego podmiotu certyfikat. Skoro procesor ma potwierdzenie swojego systemu bezpieczeństwa informacji przez niezależną jednostkę certyfikującą to czy jest jeszcze sens dokonywania audytów w ramach umowy powierzenia?

Ocena użytkownika:
4
Zgłoś naruszenie regulaminu
data:

Proszę o komentarz, jak się mają sprawdzenia zbiorów powierzanych w przypadku zastosowania po 1 kwietnia zapisów Art. 38 ustawy Pomoc państwa w wychowywaniu dzieci (Dz. Dz.U.2016.195 z dnia 2016.02.17). Skoro nie trzeba zawierać umów, to kto ma "pilnować" zbiorów. Te zmiany nie dotyczą tylko ustawy 500+ ale i wszystkich innych...

Ocena użytkownika:
4
Zgłoś naruszenie regulaminu

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Biznesplan

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

Polecane artykuły

Polecamy kancelarię:

Array ( [docId] => 38724 )
Array ( [docId] => 38724 )

Array ( [docId] => 38724 )