Poniższa informacja jest nawiązaniem do aktualności z dnia 22.09.2022 r. Przypomnijmy - administrator danych (PWr) powinien sprawdzić, czy procesor (inaczej podmiot przetwarzający) zapewnia gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych oraz czy powierzone przetwarzanie będzie spełniało wymogi RODO oraz czy nie ucierpią prawa osób, których dane dotyczą. Brak weryfikacji podmiotu przetwarzającego może wiązać się z konsekwencjami dla osób fizycznych, których dane osobowe zostały powierzone podmiotowi przetwarzającemu, np. w postaci utraty danych osobowych albo ich nieuprawnionego ujawnienia. Zatem decyzja co do tego, komu administrator powierzy przetwarzanie danych osobowych nie może być podejmowana bezpodstawnie. Dopiero po zbadaniu warunków przetwarzania i po stwierdzeniu adekwatności wybranego procesora, administrator może przystąpić do zawarcia stosownej umowy powierzenia. To należy zaś udokumentować. Administrator musi być gotów wykazać się dokumentami potwierdzającymi, że sprawdził swojego kontrahenta zanim uznał, że może mu zaufać. Za nadzór nad przetwarzaniem w jednostce a zatem siłą rzeczy też za to, czy zweryfikowano podwykonawcę, którego wybrano do realizacji operacji na danych osobowych w imieniu Uczelni, w Politechnice Wrocławskiej, odpowiada kierownik jednostki organizacyjnej, która to powierzenie planuje i która inicjuje zawarcie odpowiedniej umowy.

Pojawia się zatem pytanie czy administrator może żądać od podmiotu przetwarzającego wglądu w raporty poaudytowe z kontroli z zakresu ochrony danych osobowych i norm ISO, które odbyły się u procesora?

Aktualizacja (z dnia 05.8.2025 r. - stan prawny na 6 lipca 2025 r.) - w oparciu o stanowisko eksperta Wolters Kluwer -p. Sylwii Czub-Kiełczewskiej:

"Administrator ma trudne zadanie weryfikacji gwarancji ochrony powierzanych danych osobowych dawanych przez podmiot przetwarzający.

Może wykonać to poprzez przeprowadzenie samodzielnego audytu (zgodnie z art. 28 ust. 3 rozporządzenia PEiR (UE) nr 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L z 2016 r. 119, s. 1 ze zm.) – dalej RODO).

Jak wskazuje EROD "Gwarancje "zapewniane" przez podmiot przetwarzający to te, które podmiot przetwarzający jest w stanie wykazać w sposób zadowalający administratora, ponieważ są to jedyne gwarancje, które administrator może skutecznie uwzględnić przy ocenie wypełniania swoich obowiązków. Często będzie to wymagało wymiany odpowiedniej dokumentacji (np. polityki prywatności, warunków świadczenia usług, rejestru czynności przetwarzania, polityki zarządzania dokumentacją, polityki bezpieczeństwa informacji, sprawozdań z zewnętrznych audytów ochrony danych, uznanych międzynarodowych certyfikatów, takich jak normy ISO 27000)." (Wytyczne 07/2020 dotyczące pojęć administratora i podmiotu przetwarzającego zawartych w RODO, wers. 7.07.2021, s. 34).

Administrator musi zaufać, że procesor zapewnia odpowiednią ochronę. W związku z tym zarówno fakt realizowania audytów bezpieczeństwa informacji, jak i treści raportów mogą stanowić element wywiązywania się przez podmiot przetwarzający z jego obowiązków. Przechodząc do kwestii "żądania" raportów, zgodnie z art. 28 ust. 3 lit. h podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w RODO oraz wynikających z zawartej umowy powierzenia. Nie wynika z tego przepisu wprost prawo do żądania raportów z audytów. Tym bardziej, że treść raportu często wykracza poza informacje niezbędne do oceny zabezpieczeń stosowanych przez procesora. Audyt może obejmować procesy lub obszary organizacji, które nie są odpowiedzialne za ochronę powierzonych danych. Może zawierać też istotne informacje techniczne, których ujawnienie mogłoby stanowić incydent bezpieczeństwa. Administrator ma prawo do uzyskiwania informacji oraz kontroli obszarów, które dotyczą powierzonych przez niego danych. W związku z tym, administratorowi powinien być przekazany raport z audytu ISO27001, z ograniczeniem treści, które powinny pozostać poufne. Dobrą praktyką, z którą coraz częściej się spotykam, jest przygotowywanie przez audytora podsumowania wyników audytu, właśnie na potrzeby klientów audytowanego, w którym opisana jest ocena środków ochrony powierzanych danych.

W umowie powierzenia często administrator zobowiązuje procesora do informowania o kontrolach przeprowadzanych przez organ nadzorczy. Jeżeli w ramach umowy podmiot przetwarzający nie zobligował się do przekazania raportu, może ograniczyć jego treść, do informacji, które są istotne z perspektywy administratora do oceny poziomu ochrony.

Źródło: Wolters Kluwer (https://sip.lex.pl/#/question-and-answer/623751917?pit=2025-08-04)