Andersen Global

Blog

Weryfikacja podmiotów przetwarzających według RODO – jak i dlaczego to robić?

2025 / 06 / 16
Administratorzy ponoszą pełną odpowiedzialność za zapewnienie ochrony danych osobowych powierzanych zewnętrznym dostawcom usług, zgodnie z wymogami RODO. Poniżej opisujemy procedurę audytu podmiotów przetwarzających (procesorów) oraz wyjaśniamy, dlaczego audyt jest obowiązkowy oraz na co zwrócić uwagę w praktyce. Dodatkowo przygotowaliśmy materiał pomocniczy, który ułatwi przygotowanie do weryfikacji procesora – link znajdą Państwo w treści artykułu.

Weryfikacja procesora według RODO – jak i dlaczego to robić?

Wiele firm, dążąc do optymalizacji działania, decyduje się na outsourcing części swoich procesów. Obsługa księgowa, wsparcie IT, działania marketingowe czy archiwizacja dokumentacji – to popularne zadania zlecane zewnętrznym specjalistom. Jeżeli w ramach takiej współpracy Państwa partner ma dostęp do danych osobowych i wykonuje na nich operacje (takie jak zbieranie, przechowywanie, modyfikowanie czy usuwanie), staje się on podmiotem przetwarzającym (procesorem).

Ta relacja rodzi konkretne obowiązki po obu stronach, wynikające bezpośrednio z Rozporządzenia Ogólnego o Ochronie Danych (RODO). Nie wystarczy samo podpisanie umowy powierzenia przetwarzania danych osobowych. Kluczowe jest, aby administrator miał pewność, że wybrany procesor zapewnia realne gwarancje bezpiecznego i zgodnego z prawem przetwarzania powierzonych informacji. Jak to osiągnąć? Odpowiedzią jest systematyczna weryfikacja podmiotów przetwarzających dane w imieniu administratora.

Dlaczego weryfikacja procesora jest tak istotna?

Zgodnie z art. 28 RODO, administrator danych jest zobowiązany do wyboru wyłącznie takich podmiotów przetwarzających, które dają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Celem jest zapewnienie, że przetwarzanie danych będzie zgodne z wymogami RODO i skutecznie chroniło prawa osób, których dane dotyczą. Podkreślenia wymaga fakt, że ciężar udowodnienia należytego doboru i weryfikacji procesora spoczywa bezpośrednio na administratorze.

Kiedy należy przeprowadzić weryfikację?

  • Przed rozpoczęciem współpracy: Pierwsza i najważniejsza weryfikacja musi mieć miejsce zanim dojdzie do podpisania umowy powierzenia i przekazania jakichkolwiek danych.
  • Regularnie w trakcie trwania umowy: Jednorazowe sprawdzenie to zdecydowanie za mało. Zarówno otoczenie biznesowe, jak i wewnętrzne procedury czy środki bezpieczeństwa mogą ulegać zmianom. Dlatego weryfikacje procesora powinny być cyklicznie powtarzane.

Decyzje Prezesa Urzędu Ochrony Danych Osobowych (UODO) konsekwentnie wskazują na skrupulatną kontrolę realizacji przez administratorów obowiązku weryfikacji procesorów. Należycie zaplanowany i udokumentowany proces audytowy stanowi nie tylko integralny komponent systemu ochrony danych osobowych w każdej organizacji, ale przede wszystkim jest to wymóg prawny. Zaniedbania w tym obszarze mogą skutkować nie tylko poważnymi konsekwencjami wizerunkowymi, ale również nałożeniem przez organ nadzorczy administracyjnych kar pieniężnych o znacznej wysokości.

Jak przeprowadzić weryfikację procesora?

Artykuł 28 RODO nakłada na administratora obowiązek upewnienia się, że procesor gwarantuje odpowiedni poziom bezpieczeństwa. Jak jednak przeprowadzić taką weryfikację w praktyce? RODO nie narzuca jednej, sztywnej metody, co pozwala na pewną elastyczność. Najczęściej stosowane formy weryfikacji to:

  • Ankiety audytowe: Specjalnie przygotowane przez administratora kwestionariusze, które podmiot przetwarzający wypełnia, dostarczając szczegółowych informacji o stosowanych procedurach i zabezpieczeniach.
  • Wywiady i spotkania (także online): Bezpośrednie rozmowy z przedstawicielami procesora, umożliwiające dogłębne zrozumienie jego podejścia do ochrony danych i zadanie dodatkowych pytań.
  • Przegląd dokumentacji: Analiza kluczowych dokumentów, takich jak polityki bezpieczeństwa, rejestry czynności przetwarzania, rejestry naruszeń, czy umowy z ewentualnymi podwykonawcami (podprocesorami), pod kątem ich zgodności z RODO oraz oczekiwaniami administratora.
  • Audyt na miejscu (wizja lokalna): Metoda szczególnie zalecana w przypadku operacji przetwarzania danych o podwyższonym ryzyku. Pozwala na bezpośrednią ocenę zabezpieczeń fizycznych i technicznych w infrastrukturze procesora.

Z naszego doświadczenia wynika, że najefektywniejszą metodą na spełnienie obowiązku z art. 28 RODO – i jednocześnie na dobre przygotowanie się do ewentualnej kontroli UODO – jest weryfikacja procesora za pomocą szczegółowej ankiety. Jej wyniki warto podsumować w przejrzystym raporcie. Wyniki ankiety powinny zostać następnie podsumowane w kompleksowym raporcie.

Częstotliwość przeprowadzania weryfikacji

Jak wskazano uprzednio, inicjalna weryfikacja jest obligatoryjna przed zawarciem umowy powierzenia przetwarzania danych. Kategorycznie niedopuszczalne jest przekazanie danych osobowych kontrahentowi, który nie jest w stanie wykazać zgodności z wymogami RODO.

Częstotliwość kolejnych weryfikacji powinna być determinowana przez kontekst przetwarzania, a w szczególności przez wyniki przeprowadzonej przez administratora analizy ryzyka dla praw i wolności osób, których dane są przetwarzane. Im wyższe zidentyfikowane ryzyko (np. przetwarzanie danych szczególnych kategorii, operacje na dużą skalę, wykorzystanie technologii zautomatyzowanego podejmowania decyzji), tym zasadniejsze jest zwiększenie częstotliwości weryfikacji procesora.

Kluczowe obszary weryfikacji

Przeprowadzenie skutecznej weryfikacji wymaga sformułowania precyzyjnych pytań skierowanych do procesora, dotyczących m.in. stosowanych środków technicznych i organizacyjnych, procedur odpowiedzi na incydenty naruszenia ochrony danych, czy też przeprowadzenia analizy ryzyka lub oceny skutków dla ochrony danych dot. powierzonych danych. W niektórych przypadkach odpowiedzi udzielone przez Podmiot przetwarzający będą rodzić kolejne pytania, a czasem już po pierwszych kilku odpowiedziach weryfikacja może okazać się negatywna dla Podmiotu przetwarzającego.

Chcąc wesprzeć Państwa w tym zadaniu, stworzyliśmy pomocny materiał z przykładowymi pytaniami.

➡️ Zapraszamy do pobrania dokumentu po zapisaniu się do newslettera RODO HR:

„Kluczowe Pytania Weryfikacyjne dla Podmiotu Przetwarzającego” [link]

Uwaga! Zakres weryfikacji musi być na tyle szczegółowy, aby administrator, działając w zgodzie z fundamentalną zasadą rozliczalności, był w stanie wykazać, iż dokonał należytej staranności w procesie weryfikacji procesora. Istotne jest również, że administrator nie jest zobligowany do samodzielnego przeprowadzania audytu – jego realizacja może zostać powierzona wyspecjalizowanym doradcom zewnętrznym.

Weryfikacja podmiotu przetwarzającego nie jest działaniem jednorazowym, lecz stanowi nieodłączny element systemu zarządzania bezpieczeństwem informacji i ochrony danych osobowych. Jest to również wyraz należytej staranności i odpowiedzialności biznesowej, która w dobie transformacji cyfrowej stanowi o przewadze konkurencyjnej oraz buduje zaufanie w relacjach z klientami, kontrahentami i pracownikami.

Wsparcie w weryfikacji procesorów

Jeśli Państwa organizacja stoi przed koniecznością zawarcia umowy powierzenia przetwarzania danych osobowych, planuje przeprowadzenie weryfikacji obecnego procesora lub dąży do kompleksowego zapewnienia zgodności działań z RODO – zespół Kancelarii Andersen w Polsce pozostaje do Państwa dyspozycji. Nasi eksperci w zakresie ochrony danych osobowych oferują kompleksowe wsparcie, obejmujące m.in.:

  • Opracowywanie i opiniowanie umów powierzenia przetwarzania danych.
  • Przygotowywanie zindywidualizowanych procedur oraz kwestionariuszy audytowych.
  • Przeprowadzanie profesjonalnych audytów podmiotów przetwarzających.
  • Doradztwo w zakresie implementacji mechanizmów zapewniających zgodność z art. 28 RODO.
  • Wsparcie w procesie selekcji procesorów oferujących najwyższy standard ochrony danych.

AUTOR WPISU

Kamil Kozioł Senior Manager, Katowice

E: kamil.koziol@pl.Andersen.com
T: +48 668 690 891

ZOSTAW SWÓJ KOMENTARZ

Your email address will not be published. Required fields are marked *

Przeczytałam/przeczytałem i akceptuję Politykę Prywatności i Informacja o danych osobowych.*

NAJNOWSZE BLOGI

Aktualności

Publikacje

2025 / 05 / 26
Tomasz Srokosz Dominik Gutowski

Zmowa przetargowa w zamówieniach publicznych

Rzeczpospolita
2025 / 05 / 20

European Employment Insights | May 2025

Andersen in Europe
2025 / 05 / 12

European Corporate Insights | May 2025

Andersen in Europe

Newslettery

2025 / 06 / 06

Przedsiębiorcy gospodarujący odpadami nie stracą decyzji 31 grudnia 2025 r.

więcej
2025 / 06 / 02

Korekta TP a VAT – możliwa zmiana podejścia w zakresie VAT

więcej
2025 / 05 / 28

Zmiany w zatrudnianiu i pobycie cudzoziemców

więcej

Wydarzenia

2025 / 06 / 05

WEBINARIUM | 11 czerwca 2025 r. | 10:00 – Zamówienia publiczne – praktyczne aspekty dla zamawiających i wykonawców

więcej
2025 / 06 / 04

WEBINARIUM | 11 czerwca 2025 r. | 10:00 – Czy outsourcing płac i kadr jest dla Twojej organizacji? – Posłuchaj i zdecyduj!

więcej
2025 / 05 / 28

WEBINARIUM | 13 czerwca 2025 r. | 11:00 – KSeF – robocza wersja schemy FA (3)

więcej

Blogi

2025 / 06 / 16
Piotr Sukienik Zofia Muszala

Ulga na ekspansję – korzystna zmiana dla podatników w podejściu do rozliczania kosztów

więcej
2025 / 06 / 16
Kamil Kozioł

Weryfikacja podmiotów przetwarzających według RODO – jak i dlaczego to robić?

więcej
2025 / 06 / 12
Magdalena Patryas Maciej Pietrzycki

HReports | Czerwiec 2025

więcej