Ochrona danych osobowych, RODO

Czego powinna nauczyć przedsiębiorców rekordowa kara Prezesa UODO za naruszenie przepisów RODO?

09/03/2022

Wysokość ostatniej kary UODO (ponad 4,9 mln zł nałożone na administratora) robi wrażenie. W ramach tej samej decyzji organ nałożył karę również na podmiot przetwarzający dane w imieniu administratora (ponad 250 tys. zł.). Co było podstawą ich nałożenia?

 

Tło sprawy

Kara administracyjna została nałożona w drodze postępowania wszczętego w związku ze zgłoszeniem naruszenia ochrony danych osobowych dokonanym przez samego administratora.

Naruszenie dotyczyło skopiowania danych osobowych klientów administratora (ostatecznie ustalono, że naruszenie poufności mogło dotyczyć ponad 95 tys. osób). Miało być związane z wprowadzeniem zmian w środowisku teleinformatycznym dla usługi, z której korzysta administrator (cyfrowego archiwum dokumentów i informacji na temat klientów).

Sama zmiana miała być wprowadzana przez podmiot przetwarzający, odpowiedzialny za dostarczenie tej usługi na rzecz administratora. W ramach postępowania ustalono, że bezpośrednią przyczyną naruszeniu był błąd pracownika podmiotu przetwarzającego odpowiedzialnego za wprowadzane zmiany.

 

Na co zwrócił uwagę Prezes UODO?

Kara za dobrze znane grzeszki podmiotów uczestniczących w procesie przetwarzania danych osobowych – tak w wielkim skrócie można podsumować zarzuty Prezesa UODO, wskazane w uzasadnieniu decyzji. Powodem nałożenia kary administracyjnej był bowiem:

  1. w przypadku administratora: brak wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego, jako zapewniającego gwarancję wdrożenia takich środków;
  2. w przypadku podmiotu przetwarzającego: brak wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniających bezpieczeństwo danych osobowych.

 

Prezes UODO wskazał, że:

  1. Administrator ma obowiązek weryfikacji podmiotu przetwarzającego, z którego usług korzysta.

 Weryfikacja ma dotyczyć zarówno etapu przed zawarciem umowy powierzenia, jak i w trakcie jej realizacji. Jednocześnie organ jasno podkreślił, że Długotrwała współpraca stron, nie poparta okresowym, systematycznym przeprowadzaniem audytów bądź inspekcji nie gwarantuje, iż podmiot przetwarzający zrealizuje w sposób prawidłowy zadania wymagane przepisami prawa oraz wynikające z zawartej umowy powierzenia.” oraz „Z obowiązku przeprowadzenia takiej oceny nie zwalnia również fakt wieloletniej współpracy i korzystania z usług danego podmiotu przetwarzającego przed dniem 25 maja 2018 r., tj. przed rozpoczęciem stosowania rozporządzenia 2016/679. Ponadto organ zaznaczył, że samo podpisanie umowy powierzenia z podmiotem przetwarzającym nie może być uznane jako realizacja obowiązku przeprowadzenia postępowania weryfikującego.

Szczególnie pomocne i istotne w tym zakresie powinno być uprawnienie administratora do przeprowadzenia audytu w podmiocie przetwarzającym dane. Zdaniem organu audyt powinien być traktowany jako jeden z najważniejszych środków bezpieczeństwa stosowanych przez administratora, zaś jego brak może stanowić naruszenie przepisów RODO.

 

  1. Stosowanie technicznych i organizacyjnych środków zapewniających bezpieczeństwo danych osobowych jest obowiązkiem zarówno administratora, jak i podmiotu przetwarzającego.

W tym zakresie podkreślono, że stosowanie takich środków nie jest czynnością jednorazową i powinno stanowić proces uwzględniający odpowiednie przeglądy i regularne testowanie. W uzasadnieniu decyzji podkreślono, że wspomniane przeglądy mają dotyczyć nie tylko środków technicznych, ale i organizacyjnych (w tym wdrożonych procedur dotyczących przetwarzania danych osobowych).

 

  1. Środki zapewniające bezpieczeństwo przetwarzanych danych powinny uwzględniać aktualny stan wiedzy technicznej.

 Zwracamy na to uwagę, ponieważ organ nadzorczy ponownie bezpośrednio nawiązał do norm ISO jako wyznaczających aktualne standardy bezpieczeństwa. Poruszył tę kwestię w związku z faktem użycia przez podmiot przetwarzający rzeczywistych danych klientów administratora na potrzeby dokonania zmian usługi (a więc na etapie prac rozwojowych), bez wcześniejszego przetestowania funkcji bezpieczeństwa, co było działaniem wbrew zasadom wynikającym właśnie z norm ISO.

 

Wskazówki dla podmiotów uczestniczących w procesie przetwarzania danych

Najnowsza decyzja Prezesa UODO pokazuje w sposób jednoznaczny oczekiwania organu nadzorczego w zakresie:

  1. Współpracy pomiędzy administratorem a podmiotem przetwarzającym.

Poprzestanie jedynie na ogólnych deklaracjach podmiotów przetwarzających, zgodnie z którymi mają one stosować wszelkie środki zapewniające bezpieczeństwo danych, nie jest działaniem wystarczającym.

Obowiązkiem każdego administratora jest przygotowanie i stosowanie procedur w zakresie weryfikacji podmiotów przetwarzających. Co istotne powinno się to odbywać w ramach zaplanowanych cyklicznych działań (obejmujących zarówno etap przed zawarciem umowy powierzenia, jak i czas jej realizacji).

Decyzja organu nadzorczego pokazuje również, że audyty podmiotów przetwarzających powinny być traktowane jako standardowe działania administratora. W praktyce może to przybrać formę ankiety uzupełnionej przez podmiot przetwarzający.

 

  1. Cyklicznego sprawdzania stosowanych środków zapewniających bezpieczeństwo przetwarzanych danych.

Zarówno administratorzy, jak i podmioty przetwarzające, powinny być przygotowane na testowanie stosowanych przez siebie środków technicznych i organizujących według z góry ustalonego planu. Organ nadzorczy daje jasny sygnał, że dokumentacja ochrony danych przygotowana jedynie „do segregatora” nie będzie tolerowana, zaś raz wdrożone zabezpieczenia techniczne z czasem mogą okazać się niewystarczające.

Każdy podmiot powinien zatem zaplanować regularne: przeglądy stosowanych przez siebie polityk ochrony danych, testowanie wykorzystywanych systemów / aplikacji służących do przetwarzania danych (w tym przeprowadzenie testów penetracyjnych).

 

Omawiana decyzja pokazuje, że stosowanie przepisów RODO to proces ciągły, o czym powinien pamiętać każdy podmiot przetwarzających dane osobowe. W zakresie wsparcia w realizacji wszystkich wyżej opisanych obowiązków, nasi doradcy pozostają do dyspozycji.

Z pełną treścią decyzji Prezesa UODO w tej sprawie można zapoznać się pod linkiem.

 

Łukasz Pociecha
Senior Associate | Adwokat
lukasz.pociecha@olesinski.com