Powierzenie przetwarzania danych osobowych, ocena podmiotu przetwarzającego, ryzyko potencjalnych naruszeń i przeciwdziałanie incydentom – na czym powinien skupić się administrator danych wybierając i współpracując z podmiotem przetwarzającym?

Powierzenie

Dziś, powierzenie przetwarzania danych osobowych podmiotowi przetwarzającemu to już codzienność. Wiele procesów biznesowych nie mogłoby mieć miejsca gdyby nie dochodziło do takiego powierzenia.  Niemniej administratorzy danych często zapominają, że ich obowiązki nie kończą się na podpisaniu umowy i przekazaniu danych.

Zgodnie z art. 5 ust. 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)(dalej: RODO) to właśnie administrator ponosi odpowiedzialność za przetwarzanie danych zgodnie z obowiązującym prawem i musi także zapewnić możliwość „rozliczenia się” z tego obowiązku.

Natomiast zgodnie z art. 28 RODO, administrator może powierzyć przetwarzanie danych wyłącznie takim podmiotom, które zapewniają „(…) wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.”

Ocena podmiotu przetwarzającego

Podpisując umowę powierzenia danych, której najważniejsze aspekty opisano w art. 28 ust 3 RODO, administrator nie powinien zatem zakładać z góry, że dany podmiot takie gwarancje spełnia. Podpisanie umowy powinno być poprzedzone odpowiednim badaniem, które pozwoli odpowiedzieć na pytanie – czy rzeczywiście dany podmiot, któremu chcemy powierzyć przetwarzanie danych osobowych, wdrożył odpowiednie środki zapewniające bezpieczeństwo przetwarzania danych.

Jak wskazują wytyczne Europejskiej Rady Ochrony Danych (dalej: EROD) nr 7/2020, ocena gwarancji udzielanych przez podmiot przetwarzający jest swego rodzaju oceną ryzyka i może odbywać się przez ujawnienie odpowiedniej dokumentacji, np.:

• polityki prywatności;
• warunków świadczenia usług;
• rejestru czynności przetwarzania;
• polityki zarządzania dokumentacją;
• polityki bezpieczeństwa informacji;
• sprawozdań z zewnętrznych audytów ochrony danych czy uznanych międzynarodowych certyfikatów, takich jak normy ISO 27000.

Oczywistym jest, że taka ocena nie powinna być wykonywana dla wielu podmiotów przetwarzających na raz. Za każdym razem administrator musi brać pod uwagę konkretne, indywidualne stany faktyczne oraz, to jakie dane będzie przetwarzał podmiot itd.

EROD w ww. wytycznych wskazuje, iż w ramach tej oceny administrator powinien, poza wymienioną wyżej dokumentacją, wziąć pod uwagę także:

• wiedzę fachową przetwarzającego (np. wiedza techniczna w zakresie środków bezpieczeństwa i naruszeń ochrony danych);
• wiarygodność podmiotu przetwarzającego; zasoby podmiotu przetwarzającego;
• reputację podmiotu przetwarzającego na rynku;
• przestrzeganie zatwierdzonego kodeksu postępowania lub mechanizmu certyfikacji.

Jak podkreśla EROD, a za nim Urząd Ochrony Danych Osobowych (dalej: UODO) przetwarzanie danych to proces. Tym samym, administratorowi nie wolno, po podpisaniu umowy dotyczącej przetwarzania, zaniechać czynności audytowych i weryfikacyjnych względem podmiotu przetwarzającego. Takie czynności powinny być wykonywane w odpowiednich odstępach czasu. Niemniej to od administratora, który ocenia ryzyka związane z przetwarzaniem, zależy jak często będzie podejmował czynności względem przetwarzającego i w jaki sposób będzie weryfikował działania i udzielane przez podmiot przetwarzający gwarancje.

Naruszenia

Warto też wskazać, iż w wypadku zaistnienia naruszeń danych osobowych, w jakich brał udział podmiot przetwarzający niezbędnym jest wykonanie u takiego podmiotu audytu, wypracowanie z nim, o ile okaże się to zasadne, nowych warunków przetwarzania danych, nowych środków technicznych czy organizacyjnych. Administrator i podmiot przetwarzający powinni szczególnie w takich okolicznościach ściśle ze sobą współpracować

W końcu, jeśli podmiot nie udziela wystarczających gwarancji poprawy działania administrator powinien zastanowić się nad zasadnością zakończenia z nim współpracy.

Podsumowanie

Podjęte przez podmiot przetwarzający środki zaradcze, czy zalecane przez administratora zmiany lub poprawki powinny być uzasadnione i adekwatne do sposobu i charakteru naruszenia do jakiego doszło.

Administrator nie powinien też zakładać, że jego zalecenia zostały wdrożone. Brak nadzoru nad takim procesem może w przyszłości, okazać się dużym problemem samego administratora, ponieważ  on jest odpowiedziany za przetwarzane dane.

W kontekście naruszeń, a co za tym idzie ewentualnego zainteresowania przez Urząd Ochrony Danych Osobowych (UODO) administratorzy powinni także pamiętać, , że organ nadzorczy może żądać od administratora wykazania zawarcia umowy powierzenia oraz odpowiedzi na pytanie, czy i w jaki sposób sprawdził podmiot przetwarzający przed podpisaniem umowy, a w końcu jakie ewentualnie dalsze kroki, w ramach współpracy podjął by zapewnić bezpieczeństwo przetwarzania.

Brak spełnienia wymagań wskazanych w RODO, w ramach powierzenia danych naraża administratora na kary finansowe, adekwatne do stopnia, charakteru i wagi naruszenia.