Audyt u procesora a normy ISO

Umowa o powierzeniu przetwarzania danych osobowych powinna być zawarta w formie pisemnej lub elektronicznej. W treści umowy zawsze trzeba wskazać przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora oraz pozostałe kwestie wyliczone w art. 28 ust. 3 RODO.

Wśród tych kwestii art. 28 ust. 3 lit. h RODO wymienia udostępnianie administratorowi przez podmiot przetwarzający wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

Inną kwestią jest stosowanie norm ISO. Zgodnie z art. 28 ust. 1 RODO administrator ma korzystać wyłącznie z takich usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

Ocena ta powinna być dokonywana przez administratora przed zawarciem umowy powierzenia. Wówczas też procesor informuje administratora, czy i jakie normy ISO stosuje w odniesieniu do ochrony danych osobowych. Jeżeli procesor poinformował, że stosuje daną normą to w mojej ocenie ADO ma prawo na podstawie art. 28 ust. 3 lit. h „odpytać” procesora o to, czy i dlaczego nie wdrożył normy w danym zakresie.

Normy ISO nie są w szczególności żadnym wystarczającym sposobem na zapewnienie zgodności przetwarzania danych osobowych w danej organizacji z ogólnym rozporządzeniem o ochronie danych.