Audyt RODO kontrahenta

Na czym polega audyt RODO kontrahenta?

Audyt RODO kontrahenta to proces, w czasie którego podejmuje się konkretne kroki w celu weryfikacji partnera biznesowego. Nieistotne jest to, czy kontrahent jest dostawcą, podwykonawcą, integratorem, czy firmą IT – każdy z tych podmiotów powinien odpowiednio przetwarzać dane zgodnie z przepisami. Nie chodzi wyłącznie o zgodność z RODO, chociaż jest to podstawa, ale także o zabezpieczenia techniczne i organizacyjne, dokumentację czy praktyki stosowane w codziennej działalności.

Jeśli dobrze przeprowadzisz audyt, otrzymasz odpowiedź na pytania:

1. Czy mogę bezpiecznie przekazać dane osobowe firmie, z którą podejmę współpracę?

2. Czy jako administrator danych ponoszę odpowiedzialność?

3. Czy mój kontrahent stosuje odpowiednie zabezpieczenia i procedury, które są zgodne z przepisami?

4. Czy niezbędne jest zawarcie umowy powierzenia przetwarzania danych?

Kiedy należy przeprowadzić audyt?

Audyt najlepiej zorganizować jeszcze zanim dojdzie do przekazania jakichkolwiek danych osobowych. Zasada rozliczalności, którą opisuje rozporządzenie RODO, wymaga od administratora nie tylko spełniania obowiązków, ale też udowodnienia, że dane są przetwarzane zgodnie z przepisami. Jeśli współpracujesz z zewnętrzną firmą, musisz mieć pewność, że również ona spełnia wymogi prawne.

Audyt warto przeprowadzić szczególnie:

• Przed podpisaniem umowy z kontrahentem, gdy współpraca zakłada przetwarzanie danych osobowych.

• Cyklicznie, jeśli współpraca trwa dłużej niż kilka miesięcy.

• Po incydencie, np. gdy dojdzie do wycieku danych lub zostanie zgłoszone naruszenie.

• W przypadku zmian technologicznych, systemowych lub organizacyjnych po stronie kontrahenta.

Jak wygląda audyt RODO krok po kroku?

Z perspektywy przedsiębiorcy audyt kontrahenta może wydawać się skomplikowany, szczególnie gdy współpraca dotyczy przetwarzania danych na dużą skalę lub z udziałem podmiotu zagranicznego.

Niemniej dobrze przeprowadzony audyt RODO jest uporządkowanym procesem weryfikacji, czy druga strona rzeczywiście spełnia wymagania ochrony danych osobowych, czy jedynie deklaruje zgodność. Nie traktuj go jako dokument do odhaczenia, ale realne działanie, które chroni interesy Twojej firmy.

Poniżej przedstawiamy, jak wygląda to krok po kroku.

1. Ankieta od kontrahenta jako pierwszy etap weryfikacji

Audyty standardowo rozpoczynają się od ankiety RODO. Formularz zawiera zestaw pytań, dzięki którym możliwe jest zorientowanie, jak wygląda system ochrony danych w firmie.

W ankiecie mogą pojawić się np. pytania o:

• rejestry czynności przetwarzania,

• politykę bezpieczeństwa informacji,

• stosowane środki techniczne: szyfrowanie, dostęp do danych,

• podmioty przetwarzające,

• okresy przechowywania danych i zasady ich usuwania.

Jako administrator danych powinieneś przeanalizować wypełnioną ankietę i zakwestionować braki. Możesz odmówić współpracy, gdy poziom zabezpieczeń kontrahenta nie jest wystarczający.

2. Przegląd dokumentacji

Ankieta to jedno. Oprócz niej niezbędne okazują się dodatkowe dokumenty przedstawiające:

• politykę prywatności,

• politykę ochrony danych osobowych,

• procedurę postępowania w razie wystąpienia naruszenia,

• wzór umowy powierzenia przetwarzania danych,

• dane kontaktowe Inspektora ochrony danych w firmie kontrahenta.

Dzięki takiej dokumentacji ocenisz, czy deklaracje zawarte w ankiecie mają pokrycie w rzeczywistości.

3. Analiza ścieżki przetwarzania danych

Kolejnym krokiem jest analiza, jak w praktyce przetwarzane są dane, gdzie są przechowywane, kto ma do nich dostęp i czy dane są przekazywane poza Europejski Obszar Gospodarczy. W przypadku systemów IT, należy zweryfikować narzędzia, które używa kontrahent. Istotne jest również to, czy dane są przechowywane na serwerach w UE i czy występują zautomatyzowane decyzje.

Jeśli kontrahent korzysta z dalszych podwykonawców, np. zewnętrznego hostingu, należy zwrócić uwagę również na sprawdzenie podmiotów przetwarzających.

Podmioty przetwarzające – czyli kto dodatkowo ma dostęp do danych?

Wielu kontrahentów korzysta z tzw. subprocesorów. Są to inne firmy, które odpowiadają za techniczną obsługę danych: chmury, systemy mailingowe czy dostawcy aplikacji.

Zgodnie z art. 28 RODO, administrator musi być świadomy, kto posiada dostęp do danych, a kontrahent musi mieć zgodę na włączenie podwykonawcy do ich przetwarzania.

Przykładowo:

1. Korzystasz z usług agencji, która prowadzi marketing internetowy? Zweryfikuj, kto faktycznie przetwarza dane osobowe.

W rzeczywistości wygląda to w następujący sposób: firma A (czyli Ty jako administrator danych) zleca firmie B (np. właśnie agencji) przygotowanie kampanii. Agencja nie prowadzi wszystkich działań samodzielnie, a korzysta z usług firm C i D – są to np. dostawcy narzędzia do masowej wysyłki wiadomości mailowych i grafik freelancer. W tym przypadku dane osobowe, np. adresy e-mail, imiona i dane kontaktowe, mogą krążyć między wieloma podmiotami, nawet gdy Ty nie jesteś tego świadomy. Jest to przykład łańcucha powierzeń, czyli kaskadowego przetwarzania danych.

Jak wskazuje art. 28 RODO, masz obowiązek zawrzeć umowę powierzenia przetwarzania danych osobowych z każdym podmiotem, który przetwarza dane w Twoim imieniu. Nie jest istotne to, czy podmiotem tym będzie agencja, freelancer, operator newslettera, czy też inna strona. Oprócz tego, jeśli agencja korzysta z podwykonawców, jako administrator musisz wiedzieć, kto to dokładnie jest, jakie dane są przetwarzane i na jakich zasadach.

Nie wystarczy zapis w umowie, że agencja ma prawo korzystać z podwykonawców. RODO określa, że każdy kolejny procesor musi mieć akceptację administratora. Najlepiej, aby miała ona formę pisemną lub elektroniczną. Jeśli tego nie dopilnujesz, możesz odpowiedzieć za nielegalne przetwarzanie danych, nawet gdy w przypadku naruszeń wina będzie po stronie pośrednika.

2. Współpracujesz z software house z Hiszpanii, który korzysta z AWS zlokalizowanego w USA? Masz obowiązek zweryfikować mechanizmy transferu danych poza EOG.

Sytuacja ta jest klasycznym przykładem transferu danych osobowych poza EOG. A to oznacza dla Ciebie jedno – zanim powierzysz dane, musisz zweryfikować legalność transferu.

Na gruncie RODO obowiązują konkretne zasady przetwarzania danych poza Europejski Obszar Gospodarczy. Zostały one opisane w rozdziale V rozporządzenia. Zgodnie z nimi nie możesz po prostu wysłać danych do Stanów, nawet gdy robisz to przez renomowanego dostawcę chmurowego. Musisz mieć podstawę prawną transferu i spełnić dodatkowe wymogi zabezpieczające.

Najczęściej wykorzystuje się tzw. standardowe klauzule umowne. Są to wzorce umowne opracowane przez Komisję Europejską, z pomocą których można przekazać dane poza EOG, jeśli zostaną odpowiednio podpisane i uzupełnione przez obie strony. Uwaga! Samo ich wdrożenie nie jest jednak wystarczające.

Szczegółowe wytyczne określiła Europejska Rada Ochrony Danych. Administrator powinien dodatkowo przeprowadzić ocenę ryzyka transferu w celu sprawdzenia, czy w kraju odbiorcy obowiązują przepisy, które mogą osłabiać skuteczność klauzul. W przypadku USA problematyczne są np. uprawnienia służb do sięgania po dane. Dlatego konieczna jest ocena, czy dane są maksymalnie zabezpieczone przez szyfrowanie, pseudonimizację czy ograniczenia dostępu.

O czym pamiętać, robiąc audyt kontrahenta z zagranicy?

Weryfikacja kontrahenta spoza Polski, a zwłaszcza spoza UE, wymaga szczególnej ostrożności.

Po pierwsze należy ustalić, czy transfer danych odbywa się poza EOG, a jeśli tak jest, to na jakiej podstawie prawnej. Jak określają przepisy AI Act i RODO, przekazanie danych do kraju trzeciego jest możliwe tylko wtedy, gdy zapewniony jest odpowiedni poziom ochrony.

Ponadto, nawet jeśli kontrahent działa na terenie UE, ale korzysta z narzędzi z USA, dane mogą być automatycznie transferowane.

Pamiętaj, że bariera językowa i różnice w regulacjach mogą być przeszkodą w samodzielnej ocenie dokumentów kontrahenta. Dlatego warto skorzystać z pomocy naszej kancelarii, która specjalizuje się w compliance i doskonale zna standardy obowiązujące za granicą.

Jak może pomóc nasza kancelaria prawna?

Nasza kancelaria wspiera firmy w pełnym zakresie audytu RODO kontrahentów – zarówno krajowych, jak i zagranicznych.

Jak możemy Ci pomóc?

• Przeprowadzimy audyt kontrahenta w Twoim imieniu.

• Ocenimy ryzyko prawne i wskażemy potencjalne naruszenia.

• Opracujemy i przeanalizujemy umowy powierzenia, także dla podmiotów przetwarzających.

• Damy rekomendacje formalne i praktyczne dotyczące tego, co zmienić, aby spełniać wymogi.

• Gwarantujemy wsparcie przy transgranicznym przetwarzaniu danych i sprawdzaniu standardów bezpieczeństwa IT.

Audyt RODO warto zrobić odpowiednio wcześnie. Nie czekaj, aż dojdzie do naruszenia. Dobrze przeprowadzony audyt zapobiega karom, błędom i utracie zaufania klientów. Współpraca z niewłaściwym partnerem może Cię drogo kosztować, zarówno pod względem środków, jak i biorąc pod uwagę wizerunek Twojej firmy.

Jeśli nie masz pewności, jak zabrać się za audyt kontrahenta lub potrzebujesz wsparcia w analizie dokumentów, skontaktuj się z nami.

Pytania i odpowiedzi

Zaufali nam