Kancelaria Radców Prawnych Górski&Szetela

Obowiązek świadomego wyboru dostawcy oraz jego weryfikacji wypływa z art. 28 RODO, który stanowi, że administratorzy danych powinni korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

W praktyce coraz częściej weryfikacja dostawcy usług IT, którego usługa wiąże się przetwarzaniem danych osobowych ma miejsce poprzez: audyt, spotkania sprawdzające lub wypełnianie przez dostawcę ankiet sprawdzających. Zobacz co możesz zrobić, aby proces ten przebiegał sprawnie?

Tipy dla dostawcy IT jako Podmiotu przetwarzającego:

• Już od początku rzeczowo tłumacz swojemu klientowi wszystkie kwestie związane z ochroną danych osobowych w ramach oferowanej przez Ciebie usługi IT. Strata czasu? Niekoniecznie. To naprawdę przyspiesza proces weryfikacji, a następnie pozwala uniknąć długotrwałego wymieniania się kolejnymi już wersjami umowy powierzenia przetwarzania danych  osobowych.

• Uwzględnij specyfikę usługi lub produktu, który oferujesz klientowi w ramach umowy głównej. Warto, aby nad potencjalnymi odpowiedziami w ankiecie lub pytaniach audytowych pochyliło się kilka osób (w tym np. specjalista od systemu,który oferujesz oraz IOD). Twój Zespół powinien przygotować się do spotkania lub audytu z potencjalnym kontrahentem również pod kątem ochrony danych. To zawsze procentuje, gdyż dzięki temu klient otrzyma od razu zarówno odpowiedzi techniczne  (np. dotyczące funkcjonowania systemu oraz stosowanych środków zabezpieczeń) jak i związane z przetwarzaniem danych w  tym systemie i zgodności z przepisami RODO.
  
  

• Zwracaj uwagę na rodzaj przetwarzania danych i zgłaszaj to klientowi już na początku. Bardzo często spotykamy się z sytuacją, że dostawca IT, który będzie przetwarzał dane osobowe w systemie informatycznym podczas weryfikacji otrzymuje pytania poświęcone wyłącznie przetwarzaniu danych w formie papierowej.  Warto zwrócić uwagę,że niejednokrotnie w ramach realizacji umowy dostawca IT w ogóle nie powinien przetwarzać danych w tej formie, gdyż nie jest związane z realizacją umowy głównej. Tym samym taka nietrafna lub niepełna weryfikacja nigdy nie będzie działać ani na korzyść dostawcy IT ani na korzyść jego klienta będącego administratorem danych.

•  Wpisuj i mów tylko prawdę na zadawane pytania. Oczywiste? Niekoniecznie. Czasami spotykamy się z dostawcami usług IT, którzy w ankietach weryfikacyjnych zaznaczyli automatycznie wszystkie odpowiedzi  na „tak”,a na spotkaniach zapewniali,że posiadają każde możliwe zabezpieczenie i dokument,choć nie było to zgodne z rzeczywstością. Często nie zdają sobie oni sprawy, że zawsze klient może powiedzieć „sprawdzam”, a wcześniej lub później sprawadzić czy odpowiedzi są zgodne z prawdą. Dodatkowo, warto mieć świadomość,że jeżeli wprowadzasz klienta w błąd w powyższym zakresie tonp. przy wystąpieniu naruszenia ochrony danych, zapewne nie raz  będzie się na to powoływał. Warto rzetelnie wskazać swoje mocne i słabsze strony, w tym kwestie, które są wdrażane, aby klient sam mógł ocenić czy dostawca zapewnia wystarczające gwarancje pod kątem ochrony danych osobowych.

•  Jako spółka z branży IT, Ty również weryfikuj swoich podwykonawców w danym projekcie. Warto wprowadzić w swojej organizacji  standardy współpracy z podwykonawcami. Pamiętaj, że zgodnie z art. 28 ust. 4 RODO pełna odpowiedzialność wobec administratora  danych za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym, więc tym bardziej warto zweryfikować podwykonawców jeszcze przed podpisaniem umowy.