Zgodnie z art.28 ust.1 jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzania spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób ,których dane dotyczą.

Motyw 81 Preambuły dodatkowo informuje nas, iż należy korzystać w usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom niniejszego rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania.

Co za tym idzie przed zawarciem umowy z Procesorem należy dokonać jego weryfikacji pod kątem:

  • wiedzy fachowej (ludzie i doświadczenia)
  • wiarygodności (np. certyfikaty ISO, wdrożone Kodeksy postępowania)
  • zasobów (zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, stosowanie wewnętrznych procedur umożliwiających wdrożenie środków technicznych i organizacyjnych)

Przy weryfikacji wyżej wymienionych elementów przydatna będzie przykładowa lista pytań do Procesora:

  1. Czy jest prowadzona obowiązkowa dokumentacja RODO (dokumentacja naruszeń, RCP, RKCP)?
  2. Czy pracownicy są upoważnieni do dostępu dodanych osobowych i zobowiązani są do zachowania tajemnicy?
  3. Czy ewentualny transfer poza EOG jest legalizowany we właściwy sposób?
  4. Czy w organizacji funkcjonuje IOD lub inna osoba odpowiedzialna za bezpieczeństwo danych? Jeżeli tak, czy posiada odpowiednie kwalifikacje?
  5. Czy procesor wdrożył odpowiednie mechanizmy identyfikacji oraz oceny i notyfikacji naruszeń?
  6. Czy organizacja procesora wdrożyła inne wymagane przepisami prawa środki bezpieczeństwa (np. ustawa o krajowym systemie cyberbezpieczeństwa)?
  7. Czy wdrożone środki bezpieczeństwa są adekwatne do powierzanych danych?
  8. Czy procesor wprowadził procedury szyfrowania, pseudonimizacji danych?
  9. Czy procesor prowadzi listę/kalendarz odbytych szkoleń?
  10. Czy procesor prowadzi raporty z testów/audytów bezpieczeństwa?

Chcesz dowiedzieć się więcej o funkcjonalnościach oprogramowania RODOprotektor – wyślij nam wiadomość!

Wyślij wiadomość