Kwestia nadzoru sprawowanego przez administratora to jeden z kluczowych obowiązków związanych z powierzeniem przetwarzania danych. Administratorzy nie są tego wystarczająco świadomi, narażając się tym samym na poważne straty.
Milionowe kary za nieodpowiednie postępowanie przy naruszeniach przepisów ochrony danych przez dostawcę usług
W kwietniu 2021 roku Prezes Urzędu Ochrony Danych Osobowych nałożył na podmiot z branży technologicznej administracyjną karę pieniężną w wysokości ponad 1,1 mln zł za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych we współpracy z podmiotem świadczącym usługi kurierskie.
Firma kurierska, z której usług korzystał administrator wielokrotnie popełniała naruszenia przepisów dotyczących ochrony danych osobowych, m.in. gubiąc korespondencję zawierającą dane osobowe bądź dostarczając przesyłki do niewłaściwego odbiorcy. W toku postępowania okazało się, że administrator zgłaszał te naruszenia do Urzędu Ochrony Danych Osobowych oraz zawiadamiał osoby, których dotyczyło naruszenie.
Pomimo, że administrator dokonywał zgłoszeń i informował klientów zaraz po otrzymaniu informacji od podmiotu przetwarzającego, faktycznie następowało to po upływie dwóch, a nawet trzech miesięcy od wystąpienia incydentu. Tak znacząca zwłoka była spowodowana opóźnieniami w przekazywaniu informacji przez podmiot przetwarzający.
Zdaniem UODO, administrator miał obowiązek podjąć skuteczne działania w celu szybszej identyfikacji incydentów oraz zminimalizowania skali naruszeń. Administrator nie wdrożył odpowiednich środków organizacyjnych i technicznych pozwalających szybko i sprawnie identyfikować naruszenia, co sprawiało, że osoby, których dane dotyczyły, przez długi czas nie miały świadomości istnienia ryzyka wykorzystania ich danych przez osoby nieuprawnione, przez co nie mogły od razu podjąć odpowiednich działań, które ograniczyłyby takie niebezpieczeństwo.
Konieczność ciągłej kontroli pod kątem przestrzegania prawa ochrony danych
Pomimo że naruszenia związanie były z nieprawidłowościami występującymi po stronie podmiotu przetwarzającego, organ nadzorczy uznał, że to właśnie ukarany administrator danych odpowiada za naruszenia, bowiem nieprawidłowo realizował nadzór nad egzekwowaniem postanowień umownych, co prowadziło m.in. do późnej identyfikacji naruszeń. Nasuwa się tym samym wniosek, że sama umowa zawarta między administratorem a podmiotem przetwarzającym może być niewystarczająca dla prawidłowego zabezpieczenia zgodności z prawem przetwarzania danych osobowych.
Ukarany podmiot zaskarżył decyzję, która została następnie uchylona przez sąd administracyjny. Wyrok nie jest jednak prawomocny, a powodem uchylenia decyzji były błędy proceduralne popełnione przez organ nadzorczy w trakcie postępowania. Zgodnie z treścią uzasadnienia wyroku, w przypadku utrzymania orzeczenia w mocy, organ będzie ponownie rozpoznawał sprawę. Pomimo uchylenia decyzji WSA nie zanegował istoty rozważań organu, z których wynika, że korzystanie przez administratora danych z usług podmiotu przetwarzającego nie zwalnia administratora z ciągłego monitorowania przestrzegania przez przetwarzającego przepisów o ochronie danych osobowych i reagowania na stwierdzone nieprawidłowości.
Dlaczego administrator danych, nawet gdy nie ponosi bezpośredniej odpowiedzialności za wystąpienie naruszenia ochrony danych osobowych, może zostać ukarany?
Umocowanie w przepisach RODO
Powód stanie się bardziej zrozumiały, gdy uświadomimy sobie, że zgodnie z art. 28 RODO wybór odpowiedniego podmiotu przetwarzającego oraz ocena spełnienia przez niego warunków określonych w RODO obciążają administratora. Co więcej, to administrator ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z przepisami rozporządzenia. Wdrożenie to nie stanowi jednorazowego działania, ale polega również na dokonywaniu regularnych przeglądów tych środków, testowaniu ich, ocenianiu skuteczności, a w razie potrzeby na uaktualnianiu wcześniej przyjętych rozwiązań. Powinno ono przybrać formę ciągłego procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia.
Istotne jest, że odpowiedzialność administratora nie kończy się na etapie wyboru odpowiedniego procesora; innymi słowy – powierzenie przetwarzania (w tym również profesjonalnemu podmiotowi) nie zwalnia administratora z odpowiedzialności za proces przetwarzania danych osobowych.
Oznacza to nie tylko niezbędność starannego udokumentowania procesu weryfikacji i wyboru procesora, ale również konieczność przyjęcia rozwiązań zapewniających stałą współpracę w zakresie bezpieczeństwa przetwarzania, monitorowanie prawidłowości przetwarzania oraz współdziałanie z procesorem w celu wyjaśnienia i dokumentacji wszelkich ewentualnych incydentów bezpieczeństwa oraz naruszeń przepisów dotyczących ochrony danych.
Współodpowiedzialność procesora danych osobowych
Prawidłowy nadzór nad procesem przetwarzania jest również korzystny dla samego procesora. Podmiot przetwarzający nie może bowiem czuć się całkowicie zwolniony z odpowiedzialności za przestrzeganie przepisów ochrony danych. Jako przykład argumentu za koniecznością uwzględniania roli procesora warto wskazać wyrok z 5 października 2021 r., (II SA/Wa 528/21), w którym sąd administracyjny uchylił decyzję Prezesa Urzędu Ochrony Danych Osobowych, w której organ nałożył karę jedynie na administratora, za naruszenia dokonane przez podmiot przetwarzający. Sąd uznał, że organ wymierzając karę nie wziął pod uwagę roli podmiotu przetwarzającego w powstaniu naruszeń ochrony danych osobowych i tym samym wymierzył administratorowi karę administracyjną z pominięciem zasady proporcjonalności.
W styczniu 2022 roku miał miejsce przypadek, w którym została nałożona na administratora, rekordowa jak na polskie warunki (ponad 4,9 mln zł), administracyjna kara pieniężna. W tym przypadku również, mimo, że administrator nie podnosił bezpośredniej odpowiedzialności za naruszenie, został ukarany za brak wystarczającego nadzoru nad podmiotem przetwarzającym. Tym razem organ nałożył karę również i na podmiot przetwarzający, jednak kara nałożona na administratora była zdecydowanie surowsza.
Jak administrator może zminimalizować ryzyko naruszeń przepisów ochrony danych?
Administratorzy danych, aby ustrzec się wystąpienia nieprawidłowości bądź naruszeń ochrony danych, powinni zatem nie tylko dokonywać weryfikacji procesorów przed zawarciem umowy, ale również nadzorować proces przetwarzania w trakcie jego trwania. Przepis art. 28 ust. 1 lit h RODO zapewnia ku temu niezbędne narzędzie, nakładając na podmiot przetwarzający obowiązek udostępniania administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków nakładanych przez art. 28 RODO na procesora oraz umożliwiania administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczyniania się do nich.
Istotnym elementem uprawnienia do audytowania podmiotu przetwarzającego jest to, że nie musi być ono wykonane bezpośrednio przez samego administratora. W przypadku, w którym administrator nie czuje się na siłach w aspekcie sprawdzenia podmiotu przetwarzającego lub nie dysponuje wystarczającymi zasobami kadrowymi oraz czasowymi do podjęcia takich działań, ma możliwość skorzystania z wyspecjalizowanego podmiotu zewnętrznego. Przeprowadzony w ten sposób audyt systemu ochrony danych osobowych pozwoli znacznie ograniczyć ryzyko poniesienia negatywnych konsekwencji przez administratora w razie nieprawidłowości w procesie przetwarzania danych występujących po stronie procesora.