Powierzenie danych osobowych w praktyce, czyli jak bezpiecznie zaangażować procesora

117

Nie budzi na gruncie RODO wątpliwości, iż powierzając dane osobowe konieczne jest zawarcie umowy powierzenia przetwarzania. Jednak samo podpisanie umowy nie tylko nie zwalania administratora z odpowiedzialności, ale również nie jest jedynym jego obowiązkiem związanym z powierzeniem danych. To, co administratorzy w praktyce najczęściej pomijają, to przedkontraktowa weryfikacja podmiotu przetwarzającego dane w imieniu administratora (dalej określanego jako procesor), odpowiednie określenie warunków umowy, a także monitorowanie współpracy po jej zawarciu. Na gruncie RODO to właśnie na administratorze ciąży obowiązek weryfikacji i zapewnienia, aby podmioty przetwarzające z usług, których korzysta, dawały wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, tak, aby przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Obowiązki te nie mają zatem charakteru pasywnego, a wręcz przeciwnie, wymagają aktywnego działania administratora zarówno na etapie przedkontraktowym, jak i w czasie trwania współpracy z procesorem. Odpowiednie zaplanowanie procesu powierzenia danych jest zatem kluczowe z punktu widzenia każdego administratora, który chce zapewnić zgodność przetwarzania z obowiązującymi przepisami oraz uniknąć ewentualnych kar administracyjnych.

Od czego zatem zacząć?

Pierwszym krokiem w procesie powierzania danych jest zatem wybór procesora. Choć wydawać się może, że po to właśnie korzystamy z outsourcingu i angażujemy profesjonalistę w danej branży, aby o takie kwestie się martwić, jednakże odpowiedzialność administratora wcale nie kończy się tam, gdzie zaczynają się obowiązki procesora. Co zatem powinien zrobić administrator? Powinien zacząć od weryfikacji swojego potencjalnego kontrahenta. W praktyce często już pobieżna weryfikacja opinii w Internecie czy rozeznanie rynkowe spowodują, iż administratorowi zapali się czerwona lampka. Powtarzające się negatywne opinie o braku dostępności usług, utracie danych czy braku współpracy w zakresie przetwarzania danych osobowych mogą świadczyć bowiem o tym, że nie zostały wdrożone lub nie są w praktyce stosowane odpowiednie procedury związane z przetwarzaniem i bezpieczeństwem danych. W przypadku takich sygnałów weryfikacja potencjalnego procesora powinna być tym bardziej skrupulatna.

Jedną zaś z możliwości takiej weryfikacji jest wprowadzenie w organizacji administratora szczegółowego kwestionariusza/karty oceny, którego wypełnienie pozwoli na zweryfikowanie, czy procesor spełnia wymogi RODO i zapewnia odpowiedni stopień bezpieczeństwa danych. Szczegółowy zakres takiego kwestionariusza powinien zależeć oczywiście od konkretnej sytuacji, kontekstu przetwarzania czy kategorii przetwarzanych danych. Niemniej sugerowane jest ustalenie minimalnych wymagań, które spełniać powinien każdy podmiot, któremu planujemy powierzyć przetwarzanie danych osobowych. W kwestionariuszu weryfikacyjnym powinny znaleźć się pytania dotyczące m.in.:

  • miejsca przewarzania danych,
  • powołania i kompetencji osób odpowiedzialnych za zapewnienie przestrzegania przepisów o ochronie danych osobowych w organizacji procesora, w tym powołania inspektora ochrony danych,
  • przyjęcia i wdrożenia polityk i procedur związanych z ochroną danych osobowych,
  • posiadania certyfikatów zgodności z RODO lub innych dokumentów potwierdzających stosowane procedury, w tym w zakresie norm ISO (np. ISO 17001),
  • szkoleń pracowników w zakresie ochrony danych osobowych, polityki upoważnień do przetwarzania danych, obowiązku zachowania poufności przez personel procesora,
  • stosowanych technicznych i organizacyjnych środków bezpieczeństwa danych oraz zasad ich przeglądu,
  • prowadzenia audytów bezpieczeństwa, okresowych ocen zasad bezpieczeństwa informacji i stosowanych zabezpieczeń, kontroli wewnętrznych w zakresie przestrzegania zasad ochrony danych osobowych,
  • wdrożenia procedur związanych z naruszeniami ochrony danych oraz odpowiadaniem na wnioski i żądania podmiotów danych,
  • prowadzeniem rejestru czynności przetwarzania,
  • wdrożeniem procedury stosowania kryptograficznych mechanizmów kontroli w celu trwałej ochrony, poufności i zachowania integralności wrażliwych informacji i aktywów,
  • planów ciągłości działania oraz przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej mających na celu zapobieganie utracie danych osobowych, a także utrzymanie świadczenia usług z jak najmniejszymi przerwami,
  • stosowanych systemów informatycznych wykorzystywanych do przetwarzania danych osobowych,
  • zaangażowania ewentualnych podwykonawców/subprocesorów oraz przekazywania danych poza EOG,
  • ewentualnych postępowań dotyczących naruszenia ochrony danych osobowych przez procesora przed organami nadzorczymi lub sądami.

Wyjaśnienie powyższych kwestii pozwoli administratorowi na podjęcie świadomej decyzji w zakresie wyboru procesora, a także udokumentowanie tego procesu zgodnie z zasadami rozliczalności. Niejednokrotnie może okazać się bowiem, że kontrahent, który oferuje najkorzystniejsze warunki handlowe lub najniższą cenę usługi, nie spełnia wymogów stawianych przez RODO i nie daje wystarczających gwarancji na zgodne z nim przetwarzanie powierzonych danych. Z takim podmiotem administrator nie powinien podejmować współpracy i powierzać mu administrowanych przez siebie danych osobowych. Wybór takiego procesora już sam w sobie stanowi bowiem naruszenie obowiązków wynikających z RODO.

Umowa powierzania – obowiązek, a nie wybór

Kolejnym krokiem jest negocjacja i podpisanie umowy powierzenia. Umowa taka powinna zawierać elementy wskazane w art. 28 RODO. Samo powtórzenie zapisów rozporządzenia może jednak w praktyce nie być wystarczające, a doprecyzowanie poszczególnych praw i obowiązków stron może się okazać kluczowe dla efektywnego wykonywania umowy powierzenia. Zwrócić należy w szczególności uwagę na prawo administratora do prowadzenia audytów i inspekcji oraz obowiązek procesora przyczyniania się do nich. Choć prawo takie wynika wprost z art. 28 ust. 3 lit. h RODO, to rekomendowane jest określenie w umowie zasad prowadzenia takich audytów, w tym ich częstotliwości oraz zasad ponoszenia ich kosztów przez strony. O ile nie budzi wątpliwości, iż wykonywanie przez administratora jego uprawnień kontrolnych nie powinno zakłócać bieżącej działalności procesora oraz naruszać tajemnic jego przedsiębiorstwa, o tyle jednak wyraźny sprzeciw wobec jakichkolwiek audytów lub stawianie kolejnych przeszkód w ich prowadzeniu powinien być dla administratora co najmniej niepokojący.

Kolejnym z elementów umowy powierzenia, na który zwrócić należy uwagę w czasie negocjacji, jest dalsze powierzenie przetwarzania. Pamiętać należy, iż na gruncie RODO administrator ponosi odpowiedzialność za przetwarzanie danych przez procesorów, ale także dalszych subprocesorów – podwykonawców z których usług korzysta procesor i którym przekazuje dane osobowe. Negocjacje i ustalenia dotyczące modelu podpowierzenia (zgody ogólnej bądź szczegółowej) pozwolą nie tylko zabezpieczyć administratora danych, ale także mogą skonfrontować rzeczywistą wiedzę procesora o zasadach i odpowiedzialności za podpowierzenie. Odmowa ujawnienia czy aktualizacji przez procesora listy takich podmiotów nie powinna być zatem bagatelizowana. Pamiętać należy także, że powyższe informacje są niezbędne nie tylko z punktu widzenia zasad rozliczalności, ale także obowiązków informacyjnych administratora danych. W przypadku bowiem, gdy powierzenie lub podpowierzenie danych osobowych związane jest z transferem danych poza EOG, zgodnie z wymogami RODO o takim transferze należy poinformować podmioty danych.

Pamiętać należy także o uregulowaniu procedury zgłaszania przez procesora oraz subprocesorów przypadków naruszenia ochrony danych osobowych, ich dokumentowania oraz współpracy z administratorem w tym zakresie. Zgodnie z RODO administrator ma bowiem 72 godziny od stwierdzenia naruszenia na zgłoszenie go do Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Powinno ono nastąpić w każdym przypadku chyba, że ocenimy, iż jest mało prawdopodobne, aby naruszenie skutkowało ryzykiem naruszenia praw lub wolności danej osoby. Obowiązek ten dotyczy także naruszeń, które nastąpiły w związku z przetwarzaniem danych przez procesorów oraz subprocesorów. Brak współpracy ze strony takich podmiotów nie wyłącza jednak odpowiedzialności administratora za dokonanie oraz terminowość zgłoszeń. Odpowiednie uregulowanie zasad i terminów współpracy w tym zakresie jest zatem kluczowe.

W praktyce zdarzają się oczywiście sytuacje, iż administrator ma bardzo ograniczone możliwości uprzedniej weryfikacji potencjalnego procesora, nie mówiąc już o narzuceniu, czy chociażby negocjowaniu warunków powierzenia przetwarzania. Może wynikać to ze słabszej pozycji ekonomicznej czy rynkowej administratora bądź rozmiaru przedsiębiorstwa procesora czy międzynarodowego zasięgu świadczonych usług. W takiej sytuacji pierwszym instynktem administratora może być automatyczna zgoda na proponowane warunki, skoro bowiem oferuje je duży podmiot, to muszą odpowiadać wymogom RODO. Mogą, ale nie muszą. W każdej sytuacji treść takiej umowy należy zweryfikować, jak również ustalić potencjalne ryzyka z niej wynikające, niekiedy bowiem ryzyka te mogą przeważyć biznesowe korzyści z takiej współpracy.

Czy na tym kończą się obowiązki administratora?

Na zawarciu umowy powierzenia nie kończą się jednak obowiązki administratora. Kolejnym krokiem we współpracy z procesorem jest regularne jej monitorowanie oraz weryfikacja, czy nadal spełnia on warunki określone przez RODO oraz zawartą umowę powierzenia przetwarzania. Jednym z narzędzi, jakim w tym zakresie dysponuje administrator, jest właśnie powołane prawo do audytów i inspekcji. Przy czym kwestii audytów nie należy traktować jako uprawnienia, z którego administrator może (a w praktyce nie) korzystać, ale jako jego obowiązek. Zaniechanie kontroli, czy wymogi stawiane procesorowi przy zawarciu umowy są spełniane przez cały okres (często nawet wieloletniej) współpracy, może tak samo stanowić naruszenie RODO, jak brak ich pierwotnej weryfikacji.

Nie należy także zapominać, iż zakończenie współpracy z procesorem nie oznacza tylko rozwiązania umowy powierzenia. Dane powierzone procesorowi, a także dalszym subprocesorom, powinny zostać, zgodnie z instrukcją administratora, zwrócone lub usunięte i czynności te powinny zostać w odpowiedni sposób udokumentowane. Kwestie te warto uregulować już w umowie powierzenia.

Administrator mądry po szkodzie

Na koniec pamiętać należy, iż obowiązki administratora związane w powierzeniem przetwarzania danych osobowych mogą być i są w praktyce przedmiotem kontroli organów nadzoru. O poważnym podejściu PUODO do tych kwestii świadczy chociażby wysokość nakładanych kar. Zwrócić uwagę należy m.in. na wydaną w styczniu 2022 r. decyzję PUODO, stwierdzającą m.in. naruszenie obowiązków związanych z weryfikacją podmiotu przetwarzającego oraz nakładającą na kontrolowaną spółkę rekordową karę pieniężną przekraczająca 4,9 mln zł. Czy zatem warto przejrzeć się kwestiom powierzenia przetwarzania w swojej organizacji? Jak najbardziej.

Anna Bartosiak

Autorka jest adwokatem, zajmuje stanowisko associate w kancelarii KWKR Konieczny Wierzbicki i Partnerzy

 

 

Materiał kancelarii KWKR Konieczny Wierzbicki i Partnerzy