Czy przy audycie KRI potrzebujesz umowy powierzenia przetwarzania danych?
Audyt KRI (Krajowych Ram Interoperacyjności) w praktyce bardzo często zahacza o obszary, w których występują dane osobowe: konta użytkowników, uprawnienia, logi systemowe, kopie zapasowe, dokumentacja incydentów, polityki bezpieczeństwa, a czasem nawet podgląd konfiguracji systemów zawierających dane klientów czy pracowników. I właśnie dlatego w wielu organizacjach pojawia się kluczowe pytanie: czy z audytorem KRI trzeba podpisać umowę powierzenia przetwarzania danych osobowych?
W większości przypadków odpowiedź brzmi: tak – jeżeli audytor ma dostęp do danych osobowych lub może je przetwarzać w ramach realizacji usługi. Podstawą jest tu art. 28 RODO, który reguluje relację administrator–podmiot przetwarzający (procesor) oraz wymaga zawarcia umowy powierzenia.
Jednocześnie istnieją scenariusze, w których umowa powierzenia nie będzie konieczna – ale tylko wtedy, gdy realnie zapewnisz, że audyt przebiega bez przetwarzania danych osobowych (co w audycie KRI bywa trudne do utrzymania w praktyce). Poniżej dostajesz jasne kryteria, przykłady i rekomendowane podejście.
Audyt KRI a przetwarzanie danych – dlaczego to się łączy?
KRI określają minimalne wymagania m.in. dla systemów teleinformatycznych i bezpieczeństwa informacji w administracji i jednostkach realizujących zadania publiczne. W efekcie audyt KRI dotyka takich obszarów jak zarządzanie dostępami, rejestrowanie zdarzeń, kopie zapasowe, ciągłość działania czy zabezpieczenia techniczne.
W praktyce to oznacza, że audytor:
- analizuje konta i role użytkowników (często powiązane z imieniem, nazwiskiem, e-mailem),
- przegląda logi i rejestry zdarzeń (adresy IP, identyfikatory użytkowników, czas działań),
- weryfikuje procedury, w których są dane pracowników/klientów (np. obsługa incydentów),
- ocenia kopie zapasowe i odtwarzanie danych.
To wszystko bardzo łatwo kwalifikuje się jako przetwarzanie danych osobowych – nawet jeśli audytor nie „wyciąga” danych do własnych celów, a jedynie ma do nich dostęp w ramach usługi.
Kiedy umowa powierzenia jest konieczna?
Umowa powierzenia jest wymagana wtedy, gdy łącznie występują dwie przesłanki:
- zlecasz zewnętrznej firmie usługę (audyt KRI),
- w ramach realizacji tej usługi audytor przetwarza dane osobowe w imieniuadministratora, czyli działa jako podmiot przetwarzający.
Typowe sytuacje, w których powierzenie jest praktycznie oczywiste
- audytor otrzymuje dostęp do środowiska (VPN, konta testowe, konta imienne),
- audyt wymaga analizy logów, ticketów, zgłoszeń incydentów,
- audytor przegląda konfiguracje systemów produkcyjnych zawierających dane,
- audytor pracuje na kopiach baz, zrzutach konfiguracji, backupach, eksportach,
- audytor sporządza raporty z przykładami i zrzutami ekranów, na których mogą pojawić się dane.
W takich przypadkach podpisanie umowy powierzenia to nie formalność, tylko element rozliczalności i zabezpieczenie prawne w razie kontroli lub incydentu. Prezes UODO wielokrotnie wskazywał, że brak wymaganych elementów umowy powierzenia lub nieprawidłowe powierzenie może stanowić naruszenie obowiązków administratora.
Kiedy umowa powierzenia może nie być potrzebna?
Są sytuacje, w których organizacja próbuje przeprowadzić audyt KRI tak, aby audytor nie przetwarzał danych osobowych. To możliwe, ale wymaga realnych ograniczeń, a nie tylko deklaracji.
Umowa powierzenia może nie być konieczna, jeżeli:
- audytor dostaje wyłącznie informacje zanonimizowane lub zagregowane,
- audyt odbywa się na środowisku, w którym nie ma danych osobowych (np. środowisko testowe bez danych),
- audytor nie ma dostępu do systemów i danych, a ocena opiera się na dokumentacji, procedurach i wywiadach, bez ekspozycji danych,
- cała praca audytora jest zorganizowana tak, by nie mógł zidentyfikować osób (co jest trudne, bo same identyfikatory kont i logi często wystarczają do identyfikacji).
W praktyce: jeśli audytor ma choćby potencjalny dostęp do danych osobowych (nawet incydentalny), bezpieczniej jest przyjąć, że przetwarza dane jako procesor i zawrzeć umowę powierzenia.