PUODO zwraca uwagę, że w przypadku powierzenia danych nie wystarcza współpracować z podmiotem wiele lat. W Polsce konsekwencje dotknęły już pierwsze firmy.
Zagadnienie przekazania danych osobowych do drugiego podmiotu jest czymś, co często pojawia się w codziennym funkcjonowaniu przedsiębiorstw. W przypadku jednego z takich stosunków – powierzenia danych, RODO wymaga zawarcia umowy lub równorzędnego dokumentu.
Elementy takiej umowy wskazane są przede wszystkim w ust. 3 art. 28 RODO, ale także w ust. 1 – obejmującym wymóg, by administrator danych korzystał wyłącznie z usług takich podmiotów […], które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych […]. W związku z tym właśnie wymogiem Prezes Urzędu Ochrony Danych Osobowych stwierdził naruszenie wymogów RODO w firmach ubezpieczeniowych.
W sprawie doszło do naruszenia ochrony danych polegającego na ujawnieniu danych osobowych znajdujących się m.in. w polisach ubezpieczeniowych – były one publicznie dostępne na zasobach informatycznych należących do Administratora. Zakres ujawnionych danych był bardzo szeroki – wśród ujawnionych plików miały znajdować się dokumenty takie jak wyniki badań onkologicznych, kopie umów i polis ubezpieczeniowych z danymi klientów, zdjęcia pojazdów wykonywane do celów ubezpieczeniowych czy dokumenty z audytu bezpieczeństwa danych osobowych. Do wycieku danych doszło w wyniku ataku złośliwego oprogramowania i dotyczyło około 2 500 osób.
Zasobami tymi zajmował się podmiot prowadzący kompleksową obsługą informatyczną administratora. W toku audytu ponaruszeniowego stwierdzono szereg niedoskonałości w sposobie zabezpieczenia zasobów informatycznych przez podmiot przetwarzający. Administrator współpracował z podmiotem przetwarzającym od roku 2011 – zatem jeszcze zanim Ogólne Rozporządzenia O Ochronie Danych zostało opracowane i przyjęte. Ustawa o Ochronie Danych Osobowych z roku 1997 nie zawierała wymogu weryfikacji kompetencji podmiotu przetwarzającego a po zmianie przepisów taka weryfikacja nie została dokonana. Nie dokonywano także audytów w trakcie trwania współpracy, zgodnie z art. 28 ust. 3 lit h) RODO. W sprawie PUODO stwierdził naruszenie wymogów RODO
Do naruszenia doszło w związku z atakiem na komputery podmiotu, któremu powierzono przetwarzanie danych. Analizując zagadnienie PUODO ustalił, że administrator nie dochował należytej staranności współpracując z podmiotem przetwarzającym. W zawartej pomiędzy stronami umowie, ponieważ brak było elementów, o których mowa w art. 28 ust. 3 lit. c), e) i f) rozporządzenia 2016/679, czyli:
- zobowiązania podmiotu przetwarzającego do zachowania środków wymaganych na mocy art. 32;
- zobowiązania do pomocy przy wywiązywaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;
- zobowiązania do pomocy przy wywiązywaniu się z obowiązków określonych w art. 32–36;
- niedochowanie należytej staranności, poprzez brak weryfikacji kompetencji podmiotu przetwarzającego, zgodnie z wymogiem art. 28 ust 1 RODO.
Wymóg określony art. 28 ust. 1 bezwzględnie obowiązuje bowiem każdego administratora danych, który w ramach prowadzonej działalności korzysta z zasobów lub usług podmiotu przetwarzającego podczas przetwarzania danych osobowych. Nie można uchylić się od obowiązku dokonania takiego sprawdzenia, nawet w związku z długą współpraca z jakimś podmiotem – nie stanowi to w samo w sobie gwarancji spełniania wymogów dotyczących ochrony danych.
Sprawdź jak wdrożyć RODO w twojej organizacji
Jaką formę może przybrać sprawdzenie?
Celem sprawdzenia musimy ustalić jeden z dwóch elementów:
- podmiot posiada odpowiednią wiedzę i możliwości techniczne dla wdrożenia odpowiednich środków dla zapewnienia ochrony danych;
- podmiot jest takim na którym można polegać (reliable), tj że można po nim oczekiwać że takie środki istotnie będą wykorzystywane.
Należy zwrócić również uwagę na fakt, że wiedza oraz możliwości techniczne muszą być odpowiednie – zatem uwzględniające charakter i sposób przetwarzania oraz ryzyko z nim związane. Ten wymóg jest konkretyzacją ogólnej zasady integralność i poufności danych (art. 5 ust. 1 lit. f) i powinien być rozumiany jako ogólny element zabezpieczenia danych, a nie w oderwaniu od niego. W inny sposób zatem będą się kształtowały obowiązki w przypadku powierzenia danych np. w zakresie imienia, nazwiska i danych kontaktowych do przeglądania, a w inny, jeżeli powierzamy prowadzenie serwerów dla bazy danych obejmującej dane wrażliwe.
Punktem wyjścia w takim wypadku powinna być wiedza o ryzyku dla danych którą administrator winien posiadać, zgodnie z wymogiem art. 32 RODO – na tej podstawie trzeba ocenić, jakie minimalne warunki ochrony danych spełnić powinien podmiot przetwarzający. Nie musimy się odnosić do zakresu ochrony, którą wdrożył sam administrator – środki podmiotu przetwarzającego nie musze być identyczne – ale do zidentyfikowanych przez niego wymogów.
PUODO zwrócił tutaj uwagę na wyrok WSA w Warszawie, zgodnie z którym administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Administrator musi zatem wiedzieć sam, jakie środki są w danej sytuacji niezbędne. – komentuje Krzysztof Kaźmierczak, Data Protection Specialist RK RODO.
Przy ocenie danego (potencjalnego) podmiotu przetwarzającego niewątpliwie użyteczne będą certyfikacje. Jeżeli podmiot przetwarzający, z którym podpisujemy umowę posiada taką aktualną certyfikację (jak na przykład ISO 27001) mogłaby być potraktowana jako argument za tym, że spełnia wymóg. Pewne trudności natomiast pojawiają się, jeżeli takiej certyfikacji nie ma.
Wówczas należy co najmniej ustalić faktyczne okoliczności, które przemawiają za tym, że podmiot przetwarzający gwarantuje odpowiedni poziom ochrony – cały czas biorąc za punkt wiedzę o ryzyku dla danych po stronie administratora. Środki wdrożone przez podmiot przetwarzający mogą obejmować zarówno uzyskanie informacji o rozwiązaniach wdrożonych u potencjalnego kontrahenta, szkoleniach i innych elementach, w tym informacje o odbytych audytach. W przypadku audytu trzeciej strony udostępnienie odpowiednio ograniczonych informacji może także być świadectwem posiadania odpowiednich kwalifikacji. – komentuje Krzysztof Kaźmierczak, Data Protection Specialist RK RODO.
Czy wystarczy samo oświadczenie podmiotu, że spełnia odpowiednie środki? W świetle decyzji PUODO może to budzić wątpliwości. Urząd zwrócił uwagę, że „weryfikacja kompetencji podmiotu przetwarzającego nie miała charakteru sformalizowanego, ponieważ polegała na przeprowadzeniu rozmowy”. Należy z tego wywnioskować, że musi istnieć co najmniej jakiegoś rodzaju dokument, w którym ta weryfikacja zostanie zapisana i określona formalnie.
Zasadne jednak wydaje się uwarunkowanie tego obowiązku w zależności od charakteru powierzenia. Im większe ryzyko związane z operacjami prowadzonymi na danych, tym więcej musimy zebrać informacji o tym, jakie gwarancje ten podmiot zawiera. Jeżeli powierzone dane będą przetwarzane w ograniczonym zakresie (zarówno co do rodzaju danych, charakteru czynności przetwarzania jak i liczby osób) – to obowiązek taki będzie wymagał zapewne mniejszego zakresu formalności.
Musimy pamiętać, że sprawdzenie, o którym mowa w art. 28 ust 1 musi nastąpić przed zawarciem umowy – dotyczy upewnienia się, że dany podmiot w ogóle jest w stanie sprostać wymogom ochrony danych. Odróżnić należy od niego sprawdzenie w trakcie jej trwania, zgodnie z art. 28 ust. 3 lit h), które jest oddzielnym uprawnieniem i które powinno wynikać z umowy oraz dotyczy wywiązywania się przez podmiot przetwarzający z obowiązków w trakcie trwającej już współpracy stron. W badanej przez PUODO sprawie administrator przeprowadził audyty w trakcie trwania współpracy – ale nie było to spełnieniem obowiązku z art. 28 ust. 1.