W świecie cyfrowym dane osobowe narażone są stale na różnego rodzaju zagrożenia. Cyberprzestępcy coraz częściej koncentrują się na najłatwiej dostępnych elementach infrastruktury informatycznej, wykorzystując określone podatności. W kontekście powierzenia przetwarzania danych szczególnie wrażliwym ogniwem są podmioty przetwarzające, czyli w praktyce zewnętrzne firmy/podmioty działające na zlecenie administratorów danych osobowych. Podmioty te często okazują się najsłabszym ogniwem w łańcuchu bezpieczeństwa.
Często są to mniejsze firmy przetwarzające dane w imieniu wielu różnych organizacji. Z uwagi na ograniczone zasoby – techniczne, finansowe, a także organizacyjne – nie zawsze są w stanie zapewnić odpowiedni poziom ochrony danych osobowych. Niewątpliwie outsourcing usług, mimo licznych korzyści, ściśle związany jest z konkretnymi obowiązkami prawnymi i organizacyjnymi.
Bezpieczeństwo danych
Umowa powierzenia przetwarzania danych osobowych pozwala administratorowi na świadome zarządzanie procesem przetwarzania realizowanym przez podmiot zewnętrzny w celu zapewnienie bezpieczeństwa przetwarzania danych osobowych. Z jednej strony konstrukcja ta pozwala sprawować kontrolę nad powierzonymi danymi osobowymi, a z drugiej nad samym podmiotem przetwarzającym.
Zgodnie z art. 28 ust. 1 RODO, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
Z kolei zgodnie z art. 28 ust. 3 lit. h RODO umowa powierzenia przetwarzania danych osobowych powinna w szczególności zawierać postanowienia zobowiązujące podmiot przetwarzający do:
∑ udostępnienia administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO;
∑ umożliwienia administratorowi lub audytorowi przez niego upoważnionemu przeprowadzania audytów, w tym inspekcji, mających na celu ocenę zgodności przetwarzania z przepisami prawa,
∑ aktywnego współdziałania w ramach realizacji tych ww. działań audytowych.
Proces weryfikacji, czy podmiot przetwarzający rzeczywiście zapewnia odpowiedni poziom ochrony danych osobowych, powinien zostać przeprowadzony przed powierzeniem mu przetwarzania tych danych. Pamiętać jednak należy, że jest to obowiązek stały – administrator powinien w odpowiednich odstępach czasu weryfikować gwarancje podmiotu przetwarzającego, w tym w stosownych przypadkach przez audyty i inspekcje.
Weryfikacja
Ważną wskazówką w tej kwestii są wytyczne 07/2020 dotyczące pojęć „administrator” i „podmiot przetwarzający” zawartych w RODO, wydane przez Europejską Radę Ochrony Danych (EROD).
Gwarancje przedstawiane przez podmiot przetwarzający to takie środki, które potrafi on w sposób przekonujący udokumentować przed administratorem. Tylko takie działania mogą bowiem zostać realnie wzięte pod uwagę przez administratora przy ocenie, czy jego obowiązki są właściwie realizowane. Zazwyczaj będzie to wymagało przedstawienia odpowiednich dokumentów, takich jak polityka prywatności, regulamin usług, rejestr czynności przetwarzania, polityka zarządzania dokumentacją, polityka bezpieczeństwa informacji, raporty z audytów zewnętrznych dotyczących ochrony danych czy też międzynarodowe certyfikaty, np. z serii norm ISO 27000.
Natomiast ocena adekwatności tych gwarancji przez administratora sprowadza się do analizy i oceny ryzyka, która zależy od specyfiki danego przetwarzania i powinna być dokonywana indywidualnie dla każdego przypadku – z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania, a także zagrożeń dla praw i wolności osób fizycznych. Z tego względu EROD nie wskazuje jednej uniwersalnej listy wymaganych dokumentów czy działań, ponieważ zależą one od konkretnej sytuacji.
EROD podkreśla jednak, że administrator powinien wziąć pod uwagę następujące elementy, aby ocenić, czy gwarancje są wystarczające:
- wiedza fachowa (np. wiedza techniczna w zakresie środków bezpieczeństwa i naruszeń ochrony danych);
- wiarygodność podmiotu przetwarzającego;
- zasoby podmiotu przetwarzającego.
Reputacja podmiotu przetwarzającego na rynku może być również istotnym czynnikiem, który administratorzy powinni wziąć pod uwagę.
Kary
Co istotne, w praktyce Urząd Ochrony Danych Osobowych wydawał już decyzje, w których karę nakładano zarówno na administratorów danych osobowych, jak i na podmioty przetwarzające.
Na administratora danych nałożono karę w wysokości ponad 4,9 mln zł, natomiast na podmiot przetwarzający karę w wysokości 250 tys. zł – sprawa dotyczy Fortum Marketing and Sales Polska SA oraz PIKA sp. z o.o. Kara została nałożona właśnie w związku z naruszeniem ochrony danych osobowych polegającym na bezprawnym skopiowaniu danych osobowych, za które odpowiadał administrator danych. Do zdarzenia doszło podczas wprowadzania zmian w środowisku teleinformatycznym, prowadzonych przez podmiot przetwarzający – prezes Urzędu Ochrony Danych Osobowych uznał, że odpowiedzialny za naruszenie ochrony danych jest nie tylko administrator, ale również podmiot przetwarzający. Kara została jednak na dalszym etapie uchylona przez Wojewódzki Sąd Administracyjny w Warszawie.
Podobna sytuacja miała miejsce w sprawie, w której prezes Urzędu Ochrony Danych Osobowych ukarał spółkę Panek SA karą ponad 1,5 ml zł, zaś firmę informatyczną ITCenter – karą ponad 20 tys. zł. Problem pojawił się przy przebudowie strony internetowej spółki – na skutek błędu w komunikacji pracownik podwykonawcy omyłkowo umieścił na nowej stronie pliki z danymi ze starego serwisu, które zostały zindeksowane przez wyszukiwarkę Google i stały się dostępne dla wszystkich. Były to takie dane, jak imię, nazwisko, adres e-mail, adres zamieszkania, zaszyfrowane hasło dostępu do panelu klienta. Naruszenie dotyczyło 21 453 osób – klientów i pracowników spółki. W uzasadnieniu decyzji podkreślono właśnie, że: „Administrator na żadnym etapie prac prowadzonych na systemach informatycznych nie prowadził nadzoru nad tym, czy wdrożenie faktycznie przebiega zgodnie z powszechnie obowiązującymi standardami i umową powierzenia przetwarzania danych osobowych”.
Podsumowanie
Coraz większe wymagania w zakresie cyberbezpieczeństwa oraz konieczność zapewnienia bezpieczeństwa łańcucha dostaw prawdopodobnie przełożą się na dokładniejszą weryfikację podmiotów przetwarzających przez administratorów danych.
Warto pamiętać, że powierzenie przetwarzania danych osobowych nie zwalnia administratora z odpowiedzialności za cały proces ich przetwarzania. Odpowiedzialność administratora nie kończy się na etapie wyboru podmiotu przetwarzającego. Co więcej, jak pokazuje praktyka prezesa Urzędu Ochrony Danych Osobowych, ryzyko nałożenia kar jest realne również dla samych podmiotów przetwarzających.
