Klient może skontrolować biuro w związku z przestrzeganiem RODO. Jakie wynikają z tego obowiązki?

Podmiot przetwarzający (zwany również procesorem), którym często jest biuro rachunkowe, w stosunku do swoich klientów przetwarza dane osobowe w ich imieniu. Takie przetwarzanie należy oprzeć o umowę powierzenia danych osobowych opisaną w art. 28 RODO. Reguluje ona zwłaszcza obowiązki procesora. RODO wymienia obowiązkowe elementy, które powinny znaleźć się w umowie powierzenia. Tak więc umowa ta musi regulować m.in.:

- obowiązek udostępniania przez procesora administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz

- zasady umożliwiania ADO lub audytorowi upoważnionemu przez ADO przeprowadzanie audytów, w tym inspekcji.

Na podstawie art. 28 ust. 3 lit. h RODO procesor powinien zatem udostępniać ADO wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwiać mu lub audytorowi upoważnionemu przez ADO przeprowadzanie audytów, w tym inspekcji, i przyczyniać się do nich.

ADO powierzający dane osobowe procesorowi musi korzystać wyłącznie z usług takich podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 RODO). Tym samym, kontrola u procesora może czasem stanowić jedyny środek gwarantujący spełnienie tego wymogu.

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, zarówno ADO, jak i procesor muszą wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (takim środkiem może być zawarcie umowy powierzenia z kompetentnym podmiotem przetwarzającym).

Z analizy przepisów wynika zatem, że kontrola w stosunku do podmiotu przetwarzającego dane osobowe jest dla ADO obowiązkowa. ADO musi bowiem regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych. Dlatego właśnie ADO może sprawdzać, czy powierzone przez niego dane są bezpieczne. Powyższe regularne testowanie to również obowiązek podmiotu przetwarzającego powierzone dane.

Istotę kontroli stanowi możliwość:

- sprawdzenia, czy powierzone dane osobowe są bezpieczne u procesora;

- sporządzenia dokumentacji wskazującej, że ADO dokonał kontroli w ramach zapewniania bezpieczeństwa przetwarzanym (i powierzonym przez siebie) danym osobowym.

Jednakże, na podstawie art. 28 ust. 5 RODO, możemy automatycznie domniemywać, że procesor wdrożył odpowiednie środki techniczne i organizacyjne, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Otóż może on to wykazać m.in. poprzez stosowanie:

- zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 RODO lub

- zatwierdzonej certyfikacji, o której mowa w art. 42 RODO.

Obecnie nie ma jednak takich uregulowań w przypadku biur rachunkowych.

Przepisy nie precyzują, jak często i w jakiej formie taką kontrolę przeprowadzać, co daje ADO pewną swobodę w tym zakresie.

Pierwszą kontrolę ADO może w biurze rachunkowym przeprowadzić w zasadzie jeszcze przed zawarciem umowy powierzenia. Potem może ona mieć miejsce w regularnych odstępach czasu lub częściej – np. gdy ADO uzyska informacje o określonych nieprawidłowościach lub zmianach w przepisach.

RODO nie narzuca określonej formy kontroli, zatem, co do zasady, ADO może dowolnie dobrać sobie metody oraz zasoby jej służące.

Co najważniejsze, ADO wcale nie musi dokonywać kontroli na miejscu u procesora. Wystarczy bowiem, że zbierze od niego informacje poprzez wysłanie do wypełnienia ankiet czy też kwestionariuszy. Udzielone odpowiedzi stanowią dokumentację potwierdzającą przegląd przez ADO środków bezpieczeństwa danych osobowych.

Kontrolę ze strony ADO w biurze rachunkowym może przeprowadzić np.:

najwyższe kierownictwo ADO osobiście;

komórka zajmująca się kontrolą;

komórka zajmująca się kwestiami IT lub kadrowymi (w zależności od tego, co ADO chce skontrolować);

wyspecjalizowana firma zewnętrzna, którą ADO upoważni do dokonywania kontroli u procesorów.

Z RODO wynika, że procesor powinien udostępnić ADO wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO. Tym samym ADO może:

sięgnąć do wszystkich zasad wynikających z tego artykułu lub

skoncentrować się tylko na wybranym aspekcie – np. w przypadku kontroli doraźnej wskutek podejrzenia wycieku danych lub

zadać każde pytanie mające związek z obowiązkiem zabezpieczenia powierzonych danych osobowych.

Możemy spodziewać się od ADO różnych pytań w związku z kontrolą w biurze rachunkowym.

Nie możemy natomiast udzielać informacji niezwiązanych z przestrzeganiem przepisów RODO, do których dostępu ADO mieć nie powinien.

Osoby kierujące biurem rachunkowym mogą asystować podczas kontroli osobiście lub upoważnić do udziału w niej inne osoby. W tym ostatnim przypadku musimy zapewnić tym osobom zarówno odpowiednia wiedzę, jak i formalne upoważnienie do wzięcia udziału w kontroli.

WZÓR

Upoważnienie do udziału w czynnościach kontrolnych

data, miejscowość

Biuro Rachunkowe X

Niniejszym upoważniam Panią/Pana (…), legitymującą/legitymującego się dowodem osobistym serii (…) do składania wszelkich dopuszczalnych przepisami wyjaśnień w dowolnej formie i w związku z kontrolą przetwarzania danych osobowych powierzonych Biuru Rachunkowemu X przez administratorów danych osobowych na podstawie zawartych umów powierzenia.

Upoważnienie dotyczy czynności kontrolnych możliwych do przeprowadzenia na podstawie art. 28 ust. 3 lit. h rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

(Podpis)

Przeszkolenie osób biorących udział w kontroli musi uwzględniać wiedzę odnośnie tego, jakie informacje można przekazać kontrolującemu. Nie możemy bowiem dopuścić do sytuacji, w której podczas kontroli ze strony firmy X udostępniamy kontrolerowi bazę danych przekazaną przez klienta Y.

Jeżeli utrudnimy kontrolę, np. poprzez uniemożliwienie jej przeprowadzenia w rozsądnym terminie lub żądanie wygórowanych opłat za jej przeprowadzenie, stanowi to podstawę do rozwiązania umowy powierzenia jako niezgodnej z RODO. ADO ryzykuje bowiem, że w ten sposób nie będzie w stanie dopilnować przestrzegania przez siebie przepisów RODO. ADO może przeprowadzać również kontrolę u naszych podprocesorów (tj. podmiotów, którym podpowierzyliśmy przekazane dane osobowe), jeżeli zapewni sobie taką możliwość w umowie powierzenia, co wynika z art. 28 ust. 4 RODO. Przepis ten daje prawo procesorowi do przeprowadzania analogicznej kontroli u pod-procesora.

Oczywiście czym innym jest utrudnianie kontroli, a czym innym niemożność dopuszczenia ADO do kontroli niezapowiedzianej lub zapowiedzianej zbyt późno.

RODO i ustawa o ochronie danych osobowych przewidują kary finansowe za nieprzestrzeganie jego przepisów. Poniższa tabela przedstawia ich maksymalną wysokość w przypadku nieprzestrzegania obowiązków procesora, w tym obowiązku poddania się kontroli.

Tabela. Maksymalne limity kar administracyjnych wymierzanych na podstawie przepisów o ochronie danych osobowych

Niemniej jednak prezes Urzędu Ochrony Danych Osobowych (UODO), wymierzając karę, musi uwzględniać szereg kryteriów wpływających na ich wysokość.

Szczegółowe kryteria wymierzania kar finansowych zawiera art. 83 ust. 2 RODO.