Czy ABI może przeprowadzić audyt u procesora

Podmiot, który powołał administratora bezpieczeństwa informacji, w ramach swojej działalności może mieć zawartych kilka umów powierzenia. Czy w takim przypadku administrator bezpieczeństwa informacji powinien objąć planem sprawdzenia również zbiory danych powierzone do przetwarzania na podstawie umów powierzenia? Bez wątpienia poprzez zawarcie umowy powierzenia dochodzi do przetwarzania danych osobowych. W takiej sytuacji zbiór danych, którego dotyczy określona umowa powierzenia, powinien zostać objęty planem sprawdzenia.

Czy objęcie zbioru danych, którego dotyczy umowa powierzenia, planem sprawdzenia wynika bezpośrednio z obowiązujących przepisów? Tak, sprawdzenie zgodności przetwarzania danych osobowych wynika z obwiązujących przepisów prawa. Jednak, aby administrator danych osobowych mógł dokonać sprawdzenia, takie uprawnienie powinno zostać dodatkowo zastrzeżone w samej umowie powierzenia. Tylko odpowiednie regulacje zawarte w umowie powierzenia pozwolą bezproblemowo przeprowadzić kontrolę u procesora.

Z puntu widzenia administratora danych, jako podmiotu, który dalej ponosi odpowiedzialność za dane osobowe, ważne jest dodanie do umowy powierzenia postanowień regulujących kontrolę zasad przetwarzania powierzonych danych osobowych. Jak powinno brzmieć takie uregulowanie, aby skutecznie określało obowiązki i uprawnienia każdej ze stron?

Często spotyka się następujący zapis dotyczący czynności kontrolnych:

„Podmiot A ma prawo do przeprowadzania kontroli zastosowanych przez Podmiot B sposobów ochrony powierzonych danych osobowych. Podmiot B ma obowiązek umożliwienia Podmiotowi A przeprowadzenia takiej kontroli niezwłocznie po wezwaniu.”

Takie postanowienie uprawnia do przeprowadzenia kontroli u procesora. Pojawia się jednak pytanie, czy sposób, w jaki zostało określone prawo do kontroli, jest wystarczający. Przywołana regulacja jest bowiem sformułowana bardzo ogólnie.

Kolejny aspekt, na który warto zwrócić uwagę to upoważnienie dla audytora do przeprowadzenia kontroli. Warto zastanowić się, jak będzie wyglądało i przede wszystkim co powinno zawierać.

Dość lakoniczne postanowienia umowne, które nie regulują szczegółowo tej kwestii, nasuwają pytanie, czy osoby, które pojawiają się celem przeprowadzenia audytu, faktycznie mogą go przeprowadzić i do jakiego zakresu informacji mogą mieć dostęp.

Warto pamiętać, że przedmiotem audytu nie powinna być cała dokumentacja, jaką dana jednostka posiada, lecz jedynie aspekty związane z przetwarzaniem danych powierzonych przez administratora danych osobowych.

Biorąc pod uwagę wszystkie okoliczności, warto zastanowić się jeszcze przed zawarciem umowy powierzenia, czy podmiot, któremu powierzymy dane osobowe, będzie w stanie je odpowiednio zabezpieczyć. W praktyce często dzieje się tak, że pomimo ochrony przewidzianej przez przepisy prawa warto uszczegółowić jeszcze kwestie kontrolne.

W sytuacji, gdy podejmiemy decyzję o powierzeniu danych osobowych, kolejnym krokiem powinno być określenie szczegółowo obowiązków, jakie ciążą na stronach takiej umowy. Dzięki temu możemy w przyszłości uniknąć zbędnych problemów oraz zmniejszyć ryzyko wystąpienia incydentów godzących w bezpieczeństwo danych osobowych.

Bez wątpienia przeprowadzenie czynności sprawdzających to jeden z obowiązków administratora bezpieczeństwa informacji. W przypadku gdy dana organizacja nie powołała administratora bezpieczeństwa informacji, czynności sprawdzających powinien dokonać sam administrator danych osobowych.

Tym samym ustawa o ochronie danych osobowych większość obowiązków, jakie nakłada na administratora bezpieczeństwa informacji (m.in. dokonanie sprawdzenia), w przypadku jego braku, przenosi na administratora danych. Brak przeprowadzenia takiej kontroli może skutkować naruszeniem art. 31, 36 i 38 ustawy o ochronie danych osobowych.