Sprawdzajcie podwykonawców!
Sprawdzajcie podwykonawców! Ze względu na RODO dobrze Wam radzimy. Firma czy urząd powinny weryfikować podwykonawców, którym powierza dane osobowe w ramach outsourcingu usług. Lepiej nie czekać, aż sprawą zainteresuje się UODO.
Firmy korzystając z usług podwykonawców często powierzają im przetwarzanie danych osobowych, które podlegają ochronie. W nomenklaturze RODO taki kontrahent to tzw. procesor. Może to być np. firma call center czy zewnętrzny serwis. Administrator (podmiot zlecający) decyduje o celach i sposobach wykorzystywania i przetwarzania takich informacji. Trzeba pilnować, czy taki przedsiębiorca dba o odpowiednią ochronę powierzonych mu informacji – tego wymaga RODO.
Konieczna jest umowa
Zanim dojdzie do współpracy z procesorem, jej zasady powinny zostać uregulowane w umowie. Otóż podwykonawca musi wdrożyć odpowiednie środki techniczne i organizacyjne, by spełnić wymagania RODO. Aby nie narazić się na kary, wolno korzystać wyłącznie z usług podmiotów, dających takie gwarancje.
W interesie administratora jest więc weryfikacja zewnętrznej firmy. Powinien on uzyskać dostęp do wszelkich informacji dotyczących spełnienia wymagań RODO w zakresie przetwarzania danych przez procesora (zgodnie z art. 28 ust. 3 lit. h). Może również przeprowadzić u niego audyt, kontrolując m.in. dokumentację dotyczą ochrony danych osobowych i wdrożenie odpowiednich zabezpieczeń u podwykonawcy.
Lista kontrolna zamiast audytu
Procesora można sprawdzić także za pomocą tzw. listy kontrolnej. Musi ona być tak sformułowana, by umożliwić administratorowi uzyskanie szczegółowych informacji, jakie środki techniczne i organizacyjne zastosował podwykonawca, by zapewnić zgodność z RODO i bezpieczeństwo danych osobowych.
W liście kontrolnej powinno być miejsce na uwagi do pytań administratora i ocenę poszczególnych środków ochrony danych (np. zgodność/częściowa zgodność/niezgodność). Odpowiednio przeprowadzona weryfikacja jest dowodem wyboru procesora zgodnie z RODO (art. 28 ust. 1).
Za niespełnienie wymagań RODO grożą kary do 20 mln euro lub 4 proc. rocznych obrotów przedsiębiorstwa. UODO nakłada kolejne kary finansowe w związku z naruszeniem przepisów rozporządzenia.
Ze względu na RODO: sprawdzajcie podwykonawców!
Źródło informacji: tutaj