Bezpieczeństwo danych w firmie – administrator korzystający z usług podmiotu przetwarzającego z branży IT

Problematyka zawieranych przez administratorów umów powierzenia przetwarzania danych osobowych polega na tym, że często istotne aspekty dla Stron tej umowy są albo pomijane, albo bagatelizowane, co z kolei rzutuje na powtarzalność pewnych błędów. Celem tego artykułu jest zwrócenie uwagi na potrzebę redagowania umów powierzenia, aby jak najlepiej zabezpieczała interesy stron i tym samym nie stanowiła bezwiednego powtórzenia wymogów określonych w art. 28 ust. 3 RODO.

Problemy natury praktycznej

Chcąc przybliżyć, często występujące problemy, będę odnosił się do sytuacji, gdy podmiotem przetwarzającym jest przedstawiciel branży IT, jednak niezależnie od wybranej branży procesem przetwarzania danych będzie sterować administrator, a podmiot przetwarzający pełnić będzie rolę akcesoryjną.

Zgodnie z Wytycznymi EROD nr 4/2019 dotyczącymi stosowania art. 25 RODO, producenci i dostawcy rozwiązań IT powinni wspierać administratorów w implementacji i wdrożeniu rozwiązań spełniających wymogi privacy by default i privacy by design, aby ustalić w jakim zakresie funkcjonalność projektu będzie realizowała zasady ochrony danych, a także w jakim zakresie podmiot przetwarzający ma zastosować konkretne środki bezpieczeństwa. Niestety często kwestie te są pomijane, co w efekcie prowadzi do późniejszych nieporozumień np. w zakresie rozliczenia usług oraz może negatywnie wpłynąć na bezpieczeństwo danych. Dlatego odpowiedzialny administrator nie powinien w ramach procesu decyzyjnego akceptować dostawców, którzy oferują rozwiązania niegwarantujące wypełnienie przez administratora wymogów art. 25 RODO.

Wszystko na barkach administratora

Doniosła rola administratora danych osobowych wynika z faktu, że to on ustala cele i sposoby przetwarzania danych osobowych, a z tego powodu podmiot przetwarzający zobowiązany jest zawsze stosować się do instrukcji administratora i działać na ich podstawie.

Pamiętaj!

• art. 24 RODO – administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO;
• art. 25 RODO – administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

Co z odpowiedzialnością podmiotu przetwarzającego?

Zgodnie z art. 32 RODO także podmiot przetwarzający jest zobowiązany do wdrożenia i stosowania odpowiednich środków technicznych i organizacyjnych:

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (…).

W praktyce oznacza to konieczność przestrzegania nie tylko wymogów wynikających z RODO (testowanie, mierzenie i ocenianie wdrażanych środków bezpieczeństwa), czy wprost z konkretnej umowy powierzenia, ale również przestrzegania aktualnych standardów technicznych i norm bezpieczeństwa (normy z serii ISO, wytyczne i najlepsze praktyki OWASP czy NIST), wśród których można wymienić np. testowanie rozwiązania bez wykorzystania danych osobowych prawdziwych, a jeśli nie można inaczej, to przy zastosowaniu silnych środków kontroli dostępu, dostęp do baz danych przy wykorzystaniu dwuskładnikowego uwierzytelnienia, systematyczne odtwarzanie danych z kopii zapasowych.

Model współpracy administratora i podmiotu przetwarzającego z perspektywy Prezesa UODO

Prezes UODO w decyzji z dnia 11 lutego 2021 r. (sygn. DKN.5130.2024.2020) zwrócił uwagę na szczególną rolę administratora oraz charakter administratora i podmiotu przetwarzającego. Wskazał m.in., że:

Charakter usługi hostingu, wskazanej w umowie, nie zobowiązywał e. do ingerencji w kod źródłowy aplikacji, która jest narzędziem służącym do przetwarzania danych osobowych. Podmiot przetwarzający nie znał struktury i konfiguracji autorskich aplikacji instalowanych przez administratora na tych zasobach, w tym nie miał obowiązku, bez wiedzy administratora i na udokumentowane jego polecenie, prowadzenia czynności konfiguracyjnych w zakresie dostępu do katalogów czy baz danych, z których aplikacje te korzystają. Zgodnie z istotą świadczonej usługi, obszar ten charakteryzuje się pewną autonomią po stronie administratora i to on dysponuje pełną wiedzą o tym, jakie dane osobowe przetwarza, w jaki sposób, w jakiej lokalizacji (w ramach udostępnionych zasobów) i za pomocą jakich narzędzi.

Ustalenia poczynione w toku postępowania administracyjnego doprowadziły do wniosku, że podmiot przetwarzający nie miał nawet świadomości, że ma do czynienia z danymi osobowymi.

Prezes UODO uznał, że model współpracy administratora z podmiotem przetwarzającym był nieskuteczny i dlatego nie zachodzą przesłanki pozwalające stwierdzić naruszenie przez podmiot przetwarzający obowiązków wynikających z art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. f) RODO.

Odmiennie zadecydował Prezes UODO wydając decyzję z dnia 19 stycznia 2022 r. w sprawie pod sygn. DKN.5130.2215.2020, w której karę nałożył pieniężną nie tylko na administratora, ale również na podmiot przetwarzający.

W trakcie dokonywania zmian w systemie informatycznym, na etapie ich testowania, zostały użyte rzeczywiste dane osobowe klientów administratora, a skuteczność zastosowanych zabezpieczeń nie została zweryfikowana przed przekazaniem administratorowi nowego rozwiązania. Podmiot przetwarzający działał niezgodnie z powszechnie znanymi normami ISO, a jednocześnie wbrew postanowieniom własnej „Polityki bezpieczeństwa”, która do tych norm się odwołuje. Nie stosował się również do postanowień umowy powierzenia przetwarzania danych osobowych, w której zobowiązał się m.in. do wdrożenia pseudoanimizacji danych, którą miał traktować jako mechanizm gwarantujący odpowiedni poziom bezpieczeństwa danych.

Organ nadzorczy stwierdził, że zaistniałe naruszenie wynikało z niezastosowania przez podmiot przetwarzający podstawowych zasad bezpieczeństwa polegających na niezabezpieczeniu danych osobowych przed dostępem osób nieuprawnionych. Zatem ponosi on bezpośrednią odpowiedzialność za naruszenie ochrony danych osobowych klientów administratora, a tak rażące zaniedbanie w procesie przetwarzania danych osobowych, w przypadku profesjonalnego podmiotu stanowi okoliczność obciążającą i wiąże się z nałożoną na niego administracyjną karą pieniężną.

Warto wiedzieć: W Wytycznych EROD dotyczących pojęć administratora i podmiotu przetwarzającego podkreślono, że w pełni i kategorycznie o celach przetwarzania decyduje administrator. Jeśli natomiast chodzi o sposoby przetwarzania – można wskazać na istotne (kluczowe) środki, za które ponosi odpowiedzialność administrator i o których wyłącznie decyduje, wśród których wymienić należy: zakres przekazywanych danych, czas przetwarzania tych danych, kategoria odbiorców i kategoria podmiotów danych. Decydowanie o tzw. środkach innych niż istotne (niekluczowych) pozostawione jest uznaniu stron (umowie). Obejmują one infrastrukturę, oprogramowanie oraz środki zabezpieczenia.

Wnioski

Pojęcie „administratora” i „podmiotu przetwarzającego” należy przede wszystkim interpretować funkcjonalnie. W praktyce najważniejsze jest to, czy w danym przypadku faktycznie ma miejsce powierzenie przetwarzania danych osobowych i to, który podmiot ustala cele i sposoby ich przetwarzania. Role stron i pojęcie „administratora” należy interpretować możliwie szeroko, tj. w taki sposób, aby zapewnić w jaki największym stopniu ochronę osób, których dane dotyczą. Jedno jest pewne, postanowienia umowy powierzenia powinny mieć w praktyce życia codziennego bardziej doniosłe znaczenie z perspektywy odbioru stron tych umów.

Źródła:

* Decyzja PUODO z dnia 11 lutego 2021 r. (sygn. DKN.5130.2024.2020)

* Decyzja PUODO z dnia 19 stycznia 2022 r. (sygn. DKN.5130.2215.2020)

* Wytyczne 07/2020 przyjęte przez Europejską Radę Ochrony Danych 7 lipca 2021 r.

* Użyte zdjęcia i grafiki: zgodnie z warunkami licencji portalu freepik.com lub freerangestock.com

Maciej Bednarek