W dzisiejszym wpisie chciałbym zwrócić Państwa uwagę na kwestię powierzenia przetwarzania danych osobowych. Jak istotną czynnością jest powierzenie może świadczyć to, że Urząd Ochrony Danych Osobowych (UODO) zwrócił ostatnio na to uwagę informując o nałożeniu kary pieniężnej na Sułkowicki Ośrodek Kultury. Mały ośrodek kultury został ukarany karą pieniężna w kwocie niespełna 2.5 tysiąca złotych. Kwota w porównaniu z karami nakładanymi na inne podmioty, zwłaszcza prywatne, nie robi może oszałamiającego wrażenia, ale nie o jej wysokość tutaj chodzi, zwłaszcza jeżeli weźmiemy pod uwagę ograniczenia ustawowe w tym zakresie (art. 102 ust. 2 ustawy o ochronie danych osobowych), na co w omawianym przypadku zwrócił uwagę UODO nakładając rzeczona karę.
Przede wszystkim Sułkowicki Ośrodek Kultury nie spełnił podstawowego wymogu, o którym mowa w art. 28 ust. 3 RODO, tj. m.in. że przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Sprawa wydawałoby się prozaiczna i wręcz zasadnicza, a nie została przez Administratora, czyli Sułkowicki Ośrodek Kultury uregulowana. UODO w omawianym przypadku nie mógł postąpić inaczej, zwłaszcza gdy spojrzymy, co nie zostało uregulowane. Nie uregulowano powierzenia danych osobowych podmiotowi przetwarzającemu, któremu Sułkowicki Ośrodek Kultury zlecił prowadzenie ksiąg rachunkowych, ewidencji i sporządzanie raportów (w obszarze finansów, podatków oraz ZUS), a także przechowywanie dokumentacji. Tak więc dość istotny obszar funkcjonowania ośrodka kultury została powierzona podmiotowi zewnętrznemu bez uregulowania powierzenia danych osobowych. Jednocześnie UODO zwrócił uwagę, że administrator nie przeprowadził weryfikacji podmiotu przetwarzającego, nie sprawdził, czy zapewnia on wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych było zgodne z RODO. Jest to jeden z podstawowych obowiązków jakie powinien spełnić Administrator powierzając dane osobowe podmiotowi zewnętrznemu, o którym mowa w art. 28 ust. 1 RODO: „Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.” oraz w motywie 81 RODO: „(…)administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom niniejszego rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania.” Weryfikacja zastosowania przez podmiot przetwarzający odpowiednich środków technicznych i organizacyjnych, które będą chronić prawa osób, których dane dotyczą, jest podstawowym wymogiem, jaki powinien zostać spełniony przy zawieraniu umowy powierzenia przetwarzania danych osobowych przez Administratora. W przypadku barku takich zabezpieczeń albo niewystarczających zabezpieczeń, Administrator nie powinien powierzać danych osobowych pozostających w jego dyspozycji, gdyż naraża powierzane dane osobowe na uszczerbek, potencjalne naruszenie ochrony danych osobowych. Ryzyko takiego zdarzenia rośnie i staje się bardzo wysokie, na co nie powinien się godzić Administrator, który z natury rzeczy powinien w tym obszarze dochować należytej staranności, dbając o wszystkie aspekty bezpieczeństwa. UODO podkreśla, że powierzenie danych osobowych nie może być decyzja bezpodstawną, a administrator może podpisać stosowna umowę z podmiotem przetwarzającym po zbadaniu jego kompetencji w tym obszarze. W opisywanym przypadku UODO zwracał się do administratora z prośbą o przedłożenie stosownych dokumentów potwierdzających weryfikację warunków współpracy z podmiotem przetwarzającym, jednak takowych nie otrzymał.
Jednym ze sposobów weryfikacji podmiotu przetwarzającego jest np. stosowanie przez podmiot przetwarzający zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji, co może posłużyć za element wykazujący wywiązywanie się z obowiązków administratora. Inną możliwością jest sprawdzenie podmiotu przetwarzającego poprzez przeprowadzenie audytu obszaru związanego z ochrona danych osobowych. Warto wspomnieć, że przepis art. 28 ust 3 lit. h). RODO może być wykorzystany także w trakcie trwania już podpisanej umowy powierzenia danych osobowych, co powinno zostać uregulowane przez stosowny zapis w samej umowie.
W ramach audytu powinno się zweryfikować m.in. czy podmiot przetwarzający dysponuje odpowiednią dokumentacją w zakresie ochrony danych osobowych i czy ją stosuje; czy prowadzi szkolenia w zakresie danych osobowych dla swoich pracowników, czy zastosował odpowiednie środki techniczne gwarantujące dostęp do danych osobowych – np. w zakresie kontroli dostępu; czy i w jaki sposób gwarantuje bezpieczeństwo danych osobowych w wykorzystywanych przez siebie systemach informatycznych oraz w formie papierowej; czy i jak zabezpiecza sprzęt służący do pracy w systemach informatycznych; czy posiada i stosuje procedury ciągłości działania gwarantując tym samym dostępność i integralność danych osobowych; czy weryfikuje podmioty zewnętrzne z którymi współpracuje. Przeprowadzając tego typu audyt administrator nabiera pewności czy powinien współpracować z takim podmiotem, czy też nie. Oczywiście audyt jest specyficznym narzędziem służącym do weryfikacji podmiotu przetwarzającego i nie za każdym razem będzie on stosowany. Natomiast jest on narzędziem dość skutecznym, jeżeli chodzi o weryfikacje podmiotu przetwarzającego i w niektórych sytuacjach może być konieczny do przeprowadzenia.
Inną formą weryfikacji może być dostarczenie przez podmiot przetwarzający stosownych certyfikatów ISO związanych z funkcjonowaniem w organizacji np. systemu zarządzania bezpieczeństwem informacji, co bezsprzecznie będzie potwierdzać wiarygodność takiego podmiotu przetwarzającego w obszarze ochrony danych osobowych.
Reasumując administrator powierzając dane osobowe musi zadbać o pisemną formę takiego powierzenia, realizując tym samym wymów z art. 28 ust. 9 RODO. Treść umowy powinna określać m.in. przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora oraz podmiotu przetwarzającego. Należy pamiętać, że ostatecznie to na administratorze spoczywa obowiązek zapewnienia bezpieczeństwa danych osobowych, w tym ich naruszenia, co powinien zapewnić za pomocą odpowiednich środków technicznych lub organizacyjnych, a weryfikacja w tym zakresie podmiotu przetwarzającego jest wymogiem, o czym UODO przypomniał w przytoczonej na wstępie decyzji wobec Sułkowickiego Ośrodka Kultury.
Autor: Radosław Aniszczyk