Wraz z wejściem w życie RODO, na administratorów danych osobowych nałożono bardzo istotne obowiązki związane z powierzaniem danych osobowych do przetwarzania innemu podmiotowi. Wbrew powszechnemu przekonaniu, obowiązki te nie sprowadzają się wyłącznie do zawarcia tzw. umowy powierzenia. Z naszych dotychczasowych obserwacji wynika, że do publicznej świadomości przebiła się wyłącznie niewielka część dość długiego katalogu powinności, które spoczywają na administratorze w związku z chęcią „przekazania” pewnych czynności przetwarzania.
Chodzić tu może o nawet najprostsze i z pozoru niewinne procesy, jak np. jednorazowe przeniesienie bazy danych czy też analiza wskazanych danych w celu przygotowania zamówionego raportu. Przekonała się o tym np. firma Fortum Marketing and Sales Polska S.A., na którą Prezes UODO w styczniu br. nałożył bardzo surową karę w wysokości prawie 5 mln zł. W poniższym artykule skupimy się na zwięzłym omówieniu ww. obowiązków administratora w kontekście powierzania przetwarzania danych osobowych, a także wskażemy przykłady naruszeń, które spotkały się z negatywną oceną PUODO.
Współpraca z podmiotem przetwarzającym – podstawowe zasady i obowiązki
Możemy wyróżnić kilka najważniejszych wytycznych, związanych ze współpracą z podmiotem powierzającym. Są nimi:
- Wybór podmiotu przetwarzającego
Powierzenie przetwarzania danych osobowych powinien poprzedzać wybór odpowiedniego podmiotu przetwarzającego.
Zgodnie z art. 28 ust. 1 RODO administrator może korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
Interpretując powyższe łącznie z treścią motywu 81 preambuły do RODO należy dojść do wniosku, że administrator jest zobowiązany dokonać uprzedniego zbadania, czy podmiot przetwarzający spełnia wymogi określone w art. 28 ust. 1 RODO, tj. czy zapewnia wystarczające gwarancje — w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby — wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom RODO, w tym wymogom bezpieczeństwa przetwarzania.
Weryfikacji tej może przysłużyć się np. analiza wdrożonego przez podmiot przetwarzający zatwierdzonego kodeksu postępowania (art. 40 RODO) lub zatwierdzonego mechanizmu certyfikacji (art. 42 RODO), wewnętrznych procedur i polityk dotyczących ochrony danych osobowych czy też wypełnienie przygotowanego w tym celu kwestionariusza.
Co ważne, administrator powinien być w stanie wykazać, że przeprowadził taką weryfikację.
- Umowa powierzenia
Zgodnie z art. 28 ust. 3 RODO, przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.
Oprócz powyższych informacji umowa powinna zawierać szereg innych regulacji wprost wskazanych w RODO (art. 28 ust. 3), m.in. dotyczących zasad przeprowadzania audytów i inspekcji przez administratora.
Brak któregokolwiek z elementów wymienionych w ww. przepisie RODO, w szczególności gdy brak ten, chociażby pośrednio, wiąże się z incydentem podlegającym badaniu przez UODO, może wiązać się z wymierzeniem kary finansowej przez organ nadzorczy.
Umowa powinna mieć formę pisemną, w tym elektroniczną.
- Podpowierzenie
RODO dopuszcza również możliwość dalszego powierzenia danych osobowych do przetwarzania tj. gdy dany podmiot przetwarzający przekazuje dany proces przetwarzania swojemu podwykonawcy.
Z perspektywy przepisów prawnych istotne jest właściwe uregulowanie tej kwestii w umowach pomiędzy wszystkimi podmiotami oraz uzyskanie zgody administratora.
Zgodnie z art. 28 ust. 2 RODO podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
Natomiast co do stosunku prawnego pomiędzy podmiotami przetwarzającymi, zgodnie z art. 28 ust. 4 RODO podmiot przetwarzający może korzystać z usług innego podmiotu przetwarzającego pod warunkiem, że na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym.
Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.
Decyzje PUODO dot. naruszenia art. 28 RODO
1. Fortum Marketing and Sales Polska S.A. z siedzibą w Gdańsku (decyzja)
Fortum Marketing and Sales Polska S.A. z siedzibą w Gdańsku (dalej: Fortum) prowadzi działalność gospodarczą w zakresie obrotu energią elektryczną i paliwem gazowym. W ramach prowadzonej działalności gospodarczej Fortum współpracowała z PIKA Spółką z o.o. z siedzibą w Gdańsku (dalej: PIKA”). PIKA świadczyła na rzecz Fortum usługę prowadzenia archiwum, w tym archiwum cyfrowego.
W zgłoszeniu naruszenia wskazano, że doszło do „skopiowania danych” klientów Fortum, a zdarzenie było związane z faktem wprowadzenia zmiany w środowisku teleinformatycznym w celu zwiększenia wydajności działania całości repozytorium. Zmiana dokonywana była przez PIKA i polegała na utworzeniu i instalacji dodatkowej bazy danych klientów Fortum, która następnie została skopiowana przez nieuprawnione podmioty.
W toku postępowania PUODO ustalił, że strony zawarły umowę powierzenia o treści zgodnej z RODO. Na jej mocy PIKA zobowiązała się do stosowania szeregu zabezpieczeń danych osobowych m.in. ich pseudonimizacji i szyfrowania, co jednak nie zostało wdrożone przy okazji przeprowadzania ww. zmiany w systemie. Zabezpieczenia te w kontekście przedmiotowego procesu nie zostały również odrębnie skonsultowane przez strony.
Uzasadniając wybór PIKA jako podmiotu przetwarzającego oraz brak przeprowadzania audytów i inspekcji, Fortum powoływała się na okoliczność wieloletniej współpracy z PIKA, podczas której nigdy nie doszło do żadnego incydentu bezpieczeństwa danych osobowych. Dodatkowo podkreślano profesjonalny charakter prowadzonej przez PIKA działalności, fakt bycia liderem w branży oraz wysoki standard w zakresie archiwizacji i digitalizacji.
Fortum przyznała, że przed zawarciem umowy powierzenia przetwarzania danych osobowych nie przeprowadziła dodatkowej weryfikacji PIKA, uznając podpisanie umowy powierzenia i ww. reputację PIKA za wystarczające.
W związku z powyższym, pomimo oczywistej winy PIKA w naruszeniu ochrony danych osobowych, w tym także postanowień umowy powierzenia PUODO uznał, że Fortum nie wywiązała się ze swoich obowiązków wynikających z art. 28 ust. 1 RODO. Nie dokonała bowiem weryfikacji PIKA przed rozpoczęciem współpracy, a także nie korzystała z prawa do przeprowadzania kontroli wynikającego z art. 28 ust. 3 lit. h RODO poprzestając na pozytywnej ocenie dotychczasowej współpracy.
Oczywista wina PIKA za naruszenie ochrony danych osobowych w żadnym stopniu nie zwolniła Fortum z odpowiedzialności za niewywiązanie się ze swoich obowiązków jako administratora, co skutkowało nałożeniem na Fortum rekordowej kary w wys. 4,9 mln zł.
2. Krajowa Szkoła Sądownictwa i Prokuratury (decyzja)
W toku postępowania przeciwko KSSiP, kilkukrotnie omawianego przez nas przy okazji poprzednich artykułów, PUODO zidentyfikował także naruszenie art. 28 ust. 3 RODO, które to naruszenie przyczyniło się do wymierzenia na KSSiP kary pieniężnej w wys. 100 000 zł (maksymalna dopuszczalna kara, którą można nałożyć na podmiot publiczny zgodnie z art. 102 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych; Dz.U. z 2019 r. poz. 1781).
Naruszenie to polegało na zawarciu umowy powierzenia o treści niezgodnej z art. 28 ust. 3 RODO tj. bez umownego zobowiązania podmiotu przetwarzającego do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora, a także bez określenia w umowie powierzenia przetwarzania danych osobowych kategorii osób oraz bez doprecyzowania rodzaju danych osobowych przez wskazanie ich kategorii.
3. Burmistrz Aleksandrowa Kujawskiego (decyzja)
Podobnie jak w przypadku KSSIP, Burmistrz Aleksandrowa Kujawskiego dopuścił się szeregu różnych naruszeń, a w katalogu tym znalazł się również art. 28 ust. 3 RODO. O pozostałych naruszeniach wspominaliśmy w tym artykule LINK.
Naruszenie to polegało na udostępnieniu danych osobowych na rzecz podmiotu trzeciego (podmiotu przetwarzającego) bez podstawy prawnej, tj. bez uprzedniego zawarcia umów powierzenia.
Za to naruszenie w powiązaniu z innymi uchybieniami, PUODO wymierzył karę w wys. 40 000 zł.
Tak jak w przypadku KSSIP, maksymalny wymiar kary w tej sprawie wynosił 100 000 zł
Wnioski i rekomendacje
Kary wymierzone dotychczas przez PUODO za naruszenie art. 28 RODO dotyczyły zarówno zaniechania zawarcia umowy powierzenia, braków w jej treści, jak i zaniechań w zakresie realizacji jej postanowień.
Z perspektywy ostatniej kary wymierzonej spółce Fortum można dojść do wniosku, że PUODO bardzo poważnie traktuje wszelkie naruszenia związane z powierzeniem przetwarzania danych osobowych, traktując ten proces jako zasługujący na szczególną uwagę administratorów danych osobowych.
Każde udostępnienie danych podmiotom trzecim, czy też przekazanie im konkretnego procesu związanego z ich przetwarzaniem, powinno wiązać się z uprzednią weryfikacją tych podmiotów, która powinna zostać należycie udokumentowana. Administrator powinien również pamiętać o obowiązku zawarcia umowy powierzenia o odpowiedniej treści zawierającej co najmniej katalog wynikający z RODO oraz o cyklicznych audytach w przypadku długotrwałej współpracy.
Dziękujemy, że jesteś z nami i przeczytałeś do końca!
Możliwe, że zainteresują Cię również pozostałe nasze wpisy z serii praktycznych wskazówek dla uniknięcia kar.
Obiecujemy, że to nie koniec serii. Stay tuned!