Wybór Procesora – elementy, które należy zweryfikować przed zawarciem umowy

Wybór Procesora – elementy które należy zweryfikować przed zawarciem umowy

Motyw 81 Preambuły dodatkowo informuje nas, iż należy korzystać w usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom niniejszego rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania.

Co za tym idzie przed zawarciem umowy z Procesorem należy dokonać jego weryfikacji pod kątem:

• wiedzy fachowej (ludzie i doświadczenia)
• wiarygodności (np. certyfikaty ISO, wdrożone Kodeksy postępowania)
• zasobów (zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, stosowanie wewnętrznych procedur umożliwiających wdrożenie środków technicznych i organizacyjnych)

Przy weryfikacji wyżej wymienionych elementów przydatna będzie przykładowa lista pytań do Procesora:

1. Czy jest prowadzona obowiązkowa dokumentacja RODO (dokumentacja naruszeń, RCP, RKCP)?
2. Czy pracownicy są upoważnieni do dostępu dodanych osobowych i zobowiązani są do zachowania tajemnicy?
3. Czy ewentualny transfer poza EOG jest legalizowany we właściwy sposób?
4. Czy w organizacji funkcjonuje IOD lub inna osoba odpowiedzialna za bezpieczeństwo danych? Jeżeli tak, czy posiada odpowiednie kwalifikacje?
5. Czy procesor wdrożył odpowiednie mechanizmy identyfikacji oraz oceny i notyfikacji naruszeń?
6. Czy organizacja procesora wdrożyła inne wymagane przepisami prawa środki bezpieczeństwa (np. ustawa o krajowym systemie cyberbezpieczeństwa)?
7. Czy wdrożone środki bezpieczeństwa są adekwatne do powierzanych danych?
8. Czy procesor wprowadził procedury szyfrowania, pseudonimizacji danych?
9. Czy procesor prowadzi listę/kalendarz odbytych szkoleń?
10. Czy procesor prowadzi raporty z testów/audytów bezpieczeństwa?