Zgodność z RODO to nie tylko aspekt zewnętrzny – polityka prywatności czy zawarcie umów powierzenia. Część podmiotów, szczególnie pełniących rolę procesorów, niestety o tym zapomina, co doprowadza czasami do niemiłej niespodzianki.
Dlaczego? Obecnie standardem, szczególnie wśród międzynarodowych korporacji, jest to, że przed nawiązaniem współpracy z podmiotem, który będzie miał dostęp do danych osobowych, przeprowadzana jest ankieta dot. stosowanych standardów oraz zabezpieczeń.
O co zwykle pytają w takich ankietach:
▶ Czy każdy pracownik lub współpracownik otrzymał upoważnienie do przetwarzania danych osobowych?
▶ Czy osoby dopuszczone do przetwarzania zobowiązały się do zachowania w poufności danych osobowych?
▶ Czy dochodzi do transferu danych poza EOG, a jeśli tak to jakie mechanizmy legalizujące transfer zostały zastosowane?
▶ Czy przeprowadzana została analiza ryzyka, a jeśli było to wymagane, ocena skutków dla ochrony danych?
▶ Czy prowadzony jest rejestr naruszeń i czy doszło do konieczności zawiadomienia PUODO o jakimś incydencie bezpieczeństwa?
▶ Czy doszło do powołania IOD, a jeśli nie to czy zbadano kwestię konieczności jego powołania?
▶ Jakie zabezpieczenia są stosowane w celu zapewnienie bezpieczeństwa oraz integralności przetwarzanych danych osobowych?
Oczywiście można wskazać, że wszystko zostało wdrożone, nawet jeśli nie będzie to zgodne z prawdą. Tylko co w przypadku gdy kontrahent skorzysta ze swojego prawa wynikającego z art. 28 ust. 3 lit. h RODO i będzie chciał przeprowadzić audyt lub inspekcję?