Kontrola podmiotu przetwarzającego wg norm ISO nie zawsze możliwa

Marcin Sarna

Autor: Marcin Sarna

Dodano: 13 września 2018
audyt
Pytanie:  Czy Administrator ma prawo prowadzić audyt i wskazywać niezgodności wg norm ISO np. 27001, jeśli norma nie jest wdrożona przez podmiot przetwarzający?
Odpowiedź: 

Nie. Procesor nie ma bowiem bezwzględnego obowiązku stosowania norm ISO.

Czytając odpowiedź naszego eksperta, dowiesz się:

- na czym polega audyt przeprowadzany przez ADO u procesora,

- czy ADO może zobligować procesora do stosowania norm ISO,

- czy w każdym przypadku ADO może przeprowadzać kontrolę stosowania norm ISO.

Audyt u procesora

Powierzenie przetwarzania danych osobowych to jeden z dwóch, obok udostępnienia, sposobów uprawnienia innego podmiotu do przetwarzania danych osobowych znajdujących się w posiadaniu konkretnego administratora danych. Podmiot, któremu dane te zostały powierzone przez osoby fizyczne, może przekazać dane osobowe innemu podmiotowi. Powierzenie przetwarzania danych osobowych pozwala w łatwy i szybki sposób uprawnić do przetwarzania danych osobowych podmioty, które normalnie nie mogłyby tego robić Podmiot, któremu dane zostały powierzone do przetwarzania (Firma Y), jest nazywany procesorem lub podmiotem przetwarzającym.

Umowa o powierzeniu przetwarzania danych osobowych powinna być zawarta w formie pisemnej lub elektronicznej. W treści umowy zawsze trzeba wskazać przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora oraz pozostałe kwestie wyliczone w art. 28 ust. 3 RODO.

Wśród tych kwestii art. 28 ust. 3 lit. h RODO wymienia udostępnianie administratorowi przez podmiot przetwarzający wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. Wynika z tego, że ADO ma prawo prowadzić audyt i wykazywać procesorowi nieprawidłowości w przetwarzaniu danych osobowych.

Normy ISO nie są obligatoryjne dla procesora

Inną kwestią jest stosowanie norm ISO. Zgodnie z art. 28 ust. 1 RODO administrator ma korzystać wyłącznie z takich usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Ocena ta powinna być dokonywana przez ADO przed zawarciem umowy powierzenia. Wówczas też procesor informuje ADO czy i jakie normy ISO stosuje w odniesieniu do ochrony danych osobowych. Jeżeli procesor poinformował, że stosuje daną normę to w mojej ocenie ADO ma prawo na podstawie art. 28 ust. 3 lit. h „odpytać” procesora o to, czy i dlaczego nie wdrożył normy w danym zakresie. Podmioty przetwarzające zasadniczo nie mają jednak obowiązku stosowania norm ISO, a ich wdrażanie stanowi tylko jeden ze sposobów na dojście do stanu zgodności z RODO.

Uwaga

Normy ISO nie są żadnym wystarczającym sposobem na zapewnienie zgodności przetwarzania danych osobowych w danej organizacji z ogólnym rozporządzeniem o ochronie danych.

Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x