Wybór Procesora – elementy, które należy zweryfikować przed zawarciem umowy

Zgodnie z art.28 ust.1 jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzania spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób ,których dane dotyczą.

Co za tym idzie przed zawarciem umowy z Procesorem należy dokonać jego weryfikacji pod kątem:

wiedzy fachowej (ludzie i doświadczenia)
wiarygodności (np. certyfikaty ISO, wdrożone Kodeksy postępowania)
zasobów (zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, stosowanie wewnętrznych procedur umożliwiających wdrożenie środków technicznych i organizacyjnych)

Przy weryfikacji wyżej wymienionych elementów przydatna będzie przykładowa lista pytań do Procesora:

Czy jest prowadzona obowiązkowa dokumentacja RODO (dokumentacja naruszeń, RCP, RKCP)?
Czy pracownicy są upoważnieni do dostępu dodanych osobowych i zobowiązani są do zachowania tajemnicy?
Czy ewentualny transfer poza EOG jest legalizowany we właściwy sposób?
Czy w organizacji funkcjonuje IOD lub inna osoba odpowiedzialna za bezpieczeństwo danych? Jeżeli tak, czy posiada odpowiednie kwalifikacje?
Czy procesor wdrożył odpowiednie mechanizmy identyfikacji oraz oceny i notyfikacji naruszeń?
Czy organizacja procesora wdrożyła inne wymagane przepisami prawa środki bezpieczeństwa (np. ustawa o krajowym systemie cyberbezpieczeństwa)?
Czy wdrożone środki bezpieczeństwa są adekwatne do powierzanych danych?
Czy procesor wprowadził procedury szyfrowania, pseudonimizacji danych?
Czy procesor prowadzi listę/kalendarz odbytych szkoleń?
Czy procesor prowadzi raporty z testów/audytów bezpieczeństwa?