Czy administrator może skontrolować podmiot przetwarzający? W jaki sposób podmiot przetwarzający może zrealizować i wykazywać spełnienie obowiązków wynikających z RODO przed administratorem?

Administrator jest zobowiązany do stałej kontroli, czy podmiot przetwarzający przetwarza dane zgodnie z prawem. Musi zatem starannie weryfikować, czy podmiot, któremu powierza przetwarzanie danych osobowych, dysponuje koniecznymi środkami - technicznymi i organizacyjnymi, które odpowiadają wymogom RODO, w tym wymogom bezpieczeństwa przetwarzania i chronią prawa osób, których dotyczą (art. 28 ust. 1 RODO i motyw 81 RODO) oraz daje odpowiednie gwarancje przestrzegania obowiązujących przepisów prawa.

Uzasadnienie

Zgodnie z  zasadą rozliczalności wyrażoną w art. 5 ust. 2 RODO, administrator jest odpowiedzialny za przestrzeganie przepisów prawa i musi być w stanie wykazać ich przestrzeganie. Co ważne, zasada ta ma zastosowanie zarówno do przetwarzania realizowanego samodzielnie przez administratora, jak i przetwarzania w jego imieniu przez podmiot przetwarzający. Obowiązkiem administratora jest zadbanie o to, by korzystać z usług tylko takiego podmiotu przetwarzającego, który zapewnia wystarczające gwarancje – w szczególności jeśli chodzi o wiedzę fachową, wiarygodność i zasoby.

W związku z tym administrator powinien mieć możliwość sprawdzenia komu powierza dane osobowe oraz w jaki sposób będą one przetwarzane i zabezpieczone. Prawo dostępu do takich informacji oraz przeprowadzania audytów przysługuje administratorowi również w trakcie realizacji umowy powierzenia. W tym celu w art. 28 ust. 3 lit. h RODO na podmiot przetwarzający zostały nałożone obowiązki udostępniania administratorowi wszelkich informacji potwierdzających spełnienie wymogów RODO, a także umożliwienia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów. Kontrole te mogą być przeprowadzane również doraźnie np. w przypadku wystąpienia naruszenia ochrony powierzonych danych osobowych.