Odpowiedzialność administratora za działania podmiotu przetwarzającego – jak ograniczyć ryzyko?

W świecie cyfrowym dane osobowe narażone są stale na różnego rodzaju zagrożenia. Cyberprzestępcy coraz częściej koncentrują się na najłatwiej dostępnych elementach infrastruktury informatycznej, wykorzystując określone podatności. W kontekście powierzenia przetwarzania danych szczególnie wrażliwym ogniwem są podmioty przetwarzające, czyli w praktyce zewnętrzne firmy/podmioty działające na zlecenie administratorów danych osobowych. Podmioty te często okazują się najsłabszym ogniwem w łańcuchu bezpieczeństwa.

Często są to mniejsze firmy przetwarzające dane w imieniu wielu różnych organizacji. Z uwagi na ograniczone zasoby – techniczne, finansowe, a także organizacyjne – nie zawsze są w stanie zapewnić odpowiedni poziom ochrony danych osobowych. Niewątpliwie outsourcing usług, mimo licznych korzyści, ściśle związany jest z konkretnymi obowiązkami prawnymi i organizacyjnymi.

Bezpieczeństwo danych

Umowa powierzenia przetwarzania danych osobowych pozwala administratorowi na świadome zarządzanie procesem przetwarzania realizowanym przez podmiot zewnętrzny w celu zapewnienie bezpieczeństwa przetwarzania danych osobowych. Z jednej strony konstrukcja ta pozwala sprawować kontrolę nad powierzonymi danymi osobowymi, a z drugiej nad samym podmiotem przetwarzającym.

Zgodnie z art. 28 ust. 1 RODO, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

Z kolei zgodnie z art. 28 ust. 3 lit. h RODO umowa powierzenia przetwarzania danych osobowych powinna w szczególności zawierać postanowienia zobowiązujące podmiot przetwarzający do:

∑ udostępnienia administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO;

∑ umożliwienia administratorowi lub audytorowi przez niego upoważnionemu przeprowadzania audytów, w tym inspekcji, mających na celu ocenę zgodności przetwarzania z przepisami prawa,

∑ aktywnego współdziałania w ramach realizacji tych ww. działań audytowych.

Proces weryfikacji, czy podmiot przetwarzający rzeczywiście zapewnia odpowiedni poziom ochrony danych osobowych, powinien zostać przeprowadzony przed powierzeniem mu przetwarzania tych danych. Pamiętać jednak należy, że jest to obowiązek stały – administrator powinien w odpowiednich odstępach czasu weryfikować gwarancje podmiotu przetwarzającego, w tym w stosownych przypadkach przez audyty i inspekcje.

Weryfikacja

Ważną wskazówką w tej kwestii są wytyczne 07/2020 dotyczące pojęć „administrator” i „podmiot przetwarzający” zawartych w RODO, wydane przez Europejską Radę Ochrony Danych (EROD).

Gwarancje przedstawiane przez podmiot przetwarzający to takie środki, które potrafi on w sposób przekonujący udokumentować przed administratorem. Tylko takie działania mogą bowiem zostać realnie wzięte pod uwagę przez administratora przy ocenie, czy jego obowiązki są właściwie realizowane. Zazwyczaj będzie to wymagało przedstawienia odpowiednich dokumentów, takich jak polityka prywatności, regulamin usług, rejestr czynności przetwarzania, polityka zarządzania dokumentacją, polityka bezpieczeństwa informacji, raporty z audytów zewnętrznych dotyczących ochrony danych czy też międzynarodowe certyfikaty, np. z serii norm ISO 27000.

Natomiast ocena adekwatności tych gwarancji przez administratora sprowadza się do analizy i oceny ryzyka, która zależy od specyfiki danego przetwarzania i powinna być dokonywana indywidualnie dla każdego przypadku – z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania, a także zagrożeń dla praw i wolności osób fizycznych. Z tego względu EROD nie wskazuje jednej uniwersalnej listy wymaganych dokumentów czy działań, ponieważ zależą one od konkretnej sytuacji.

EROD podkreśla jednak, że administrator powinien wziąć pod uwagę następujące elementy, aby ocenić, czy gwarancje są wystarczające:

- wiedza fachowa (np. wiedza techniczna w zakresie środków bezpieczeństwa i naruszeń ochrony danych);

- wiarygodność podmiotu przetwarzającego;

- zasoby podmiotu przetwarzającego.

Reputacja podmiotu przetwarzającego na rynku może być również istotnym czynnikiem, który administratorzy powinni wziąć pod uwagę.