Powierzając przetwarzanie danych osobowych innym podmiotom, administrator zobowiązany jest do weryfikacji przetwarzającego. Obowiązek ten wynika z art. 28 ust. 3 lit. h RODO. Dlatego przy zawieraniu umowy o powierzeniu danych musi on zapewnić sobie instrumenty umożliwiające kontrolę organizację przetwarzającą dane. Kontrola taka może dotyczyć wyłącznie zakresu, w którym powierzone przez administratora dane są przetwarzane przez podmiot, któremu zostały udostępnione. Jakiekolwiek rozszerzenie tego obszaru jest niezgodne z prawem.

Kiedy podmiot przetwarzający dane powinien podlegać weryfikacji?
Kontrole podmiotu przetwarzającego są z punktu widzenia RODO obowiązkowe. Sprawdzenie przetwarzającego powinno mieć miejsce przed rozpoczęciem współpracy. Administrator musi wykazać, że posiada dowody na to, iż wybrał wiarygodny, kompetentny i posiadający odpowiednie zasoby i środki techniczne podmiot przetwarzający.
Kontrole mogą odbywać się również w trakcie realizacji umowy. Można je wcześniej zaplanować, ale w przypadku, kiedy zaistnieje podejrzenie nieprawidłowości w przetwarzaniu danych, weryfikacja może zostać przeprowadzana doraźnie, bez konieczności jej zapowiadania.

W przypadku powierzenia danych więcej niż jednemu podmiotowi, weryfikacja powinna zostać zaplanowana w sposób systemowy, tak, aby potwierdzić, że rzeczywiście każdy z nich przetwarza dane zgodnie z prawem oraz umową powierzenia. Ważne, aby nie wykraczały one poza zakres związany z przetwarzaniem danych powierzonych przetwarzającemu przez administratora.

Co należy weryfikować u przetwarzającego?
Zakres kontroli opierać powinien się na art. 28 oraz motywie 81 RODO. Zgodnie z nimi weryfikacji polega następujący obszar organizacji przetwarzającego:
• wiarygodność,
• posiadane środki techniczne,
• wiedza fachowa,
• warunki organizacyjne,
• zasady podpowierzania danych,
• zakres przetwarzania danych,
• cel, w jakim są przetwarzane,
• czas / okres przetwarzania,
• stosowanie się do zasady poufności,
• sposób realizacji zadań i obowiązków w odniesieniu do praw i wolności osób, których dane dotyczą,
• przestrzeganie zapisów umowy o powierzeniu danych.

Kontrola prawidłowego przetwarzania powierzonych przez ADO danych osobowych powinna również zweryfikować zgodność przetwarzania z udokumentowanym poleceniem administratora. Firma przetwarzająca musi być świadoma tego, że ostatecznie to administrator odpowiada za przestrzeganie prawa w zakresie przetwarzania danych, i jej obowiązkiem jest umożliwienie i ułatwienie mu przeprowadzenia weryfikacji prawidłowości przetwarzania.

Monika Zygmunt-Jakuć (Inspektor ochrony danych)