.. Loading ..
Znajdź mnie:
Kancelaria Radcy Prawnego - Oktawia Zarzecka
  • Home
  • Prawo dla Biznesu
  • Kontrola podmiotu przetwarzającego – o czym musi pamiętać administrator danych osobowych?

Kontrola podmiotu przetwarzającego – o czym musi pamiętać administrator danych osobowych?

By: Oktawia Zarzecka 13 czerwca 2022 no comments
By: Oktawia Zarzecka
13 czerwca 2022
no comments
Share This Post
Kategorie:
Tagi:
, , , , , , , , , , , , , , , , , ,

Kontrola podmiotu przetwarzającego – o czym musi pamiętać administrator danych osobowych?

Stan prawny na dzień: 13.06.2022 r.

Wpis na blogu nie stanowi porady prawnej. Artykuł odnosi się do ogólnej sytuacji prawnej, dlatego nie może stanowić rozwiązania dla indywidualnego problemu. Jeżeli potrzebujesz indywidualnej konsultacji, zapraszam do kontaktu.

 

Administratorzy danych osobowych powierzając (na podstawie umowy powierzenia przetwarzania danych osobowych) dane osobowe do przetwarzania podmiotom przetwarzającym (inaczej procesorom) zapominają o realizacji swojego obowiązku, związanego z kontrolą takiego podmiotu w trakcie trwania umowy powierzenia. Czy słusznie, czy wystarczy jedynie podpisanie umowy powierzenia i „zrzucenie” odpowiedzialności za bezpieczeństwo przetwarzania tych danych na procesora? O tym przeczytasz w moim artykule.

 

 

 

 

Jeżeli administrator powierza zewnętrznej firmie do przetwarzania dane osobowe, określając zakres i cel tego przetwarzania, wtedy ta zewnętrzna firma występuje w roli podmiotu przetwarzającego i konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych.

 

Co ważne, administrator może powierzać przetwarzanie danych wyłącznie podmiotom, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Wynika to z art. 28 ust. 1 RODO.

 

Z punktu widzenia obowiązków administratora we wspomnianym zakresie, bardzo ważna jest ostatnia decyzja Prezesa Urzędu Ochrony Danych Osobowych w sprawie Fortum Marketing and Sales Polska S.A. (administrator) i PIKA sp. z o.o. (podmiot przetwarzający/procesor).

 

 

Sprawa Fortum i PIKA – omówienie

 

Fortum Marketing and Sales Polska S.A. zawarła z PIKA sp. z o.o. umowę powierzenia przetwarzania danych osobowych, co miało związek z łączącą strony umową na usługę prowadzenia archiwum, w tym archiwum cyfrowego.

 

Naruszenie ochrony danych polegało na skopiowaniu danych klientów administratora przez nieuprawnione osoby. Doszło do tego w momencie wprowadzania zmiany w środowisku teleinformatycznym.

 

Podmiot przetwarzający dokonując ww. zmian, utworzył dodatkową bazę danych klientów Fortum. Baza ta została jednak skopiowana przez nieuprawnione osoby, gdyż serwer, na którym została ona wdrożona, nie miał odpowiednio skonfigurowanych zabezpieczeń. Administrator danych dowiedział się o incydencie nie od podmiotu przetwarzającego, a od dwóch niezależnych internautów, którzy powiadomili go, że mają nieuprawniony dostęp do bazy.

 

Za dopuszczenie do skopiowania przez firmę współpracującą danych osobowych klientów na administratora została nałożona administracyjna kara pieniężna w wysokości ponad 4,9 mln zł. Natomiast podmiot przetwarzający, który skopiował te dane, został przez Prezesa Urzędu Ochrony Danych Osobowych ukarany grzywną w wysokości 250 tys. zł.

 

Obowiązki administratora na kanwie sprawy Fortum i PIKA

 

  • Administrator pomimo wdrożonych procedur oraz posiadanej wiedzy, jak zgodnie z powszechnie stosowanymi praktykami powinno przebiegać wprowadzanie zmian w systemach informatycznych, na żadnym etapie wdrożenianie prowadził nadzoru nad tym, czy wdrożenie faktycznie przebiega zgodnie z powszechnie obowiązującymi standardami.
  • Administrator nie egzekwował od podmiotu przetwarzającego realizacji umów, nie stosował się do własnej praktyki wdrażania zmian w środowisku IT opartej o wewnętrzne regulacje oraz nie weryfikował podmiotu przetwarzającego w zakresie prowadzonych działań mających na celu usprawnienie funkcjonowania usługi.
  • Na administratorze spoczywa obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Zarówno wprowadzenie odpowiednich środków bezpieczeństwa, jak i ich sprawdzanie nie jest działaniem jednorazowym. Powinno ono przybrać formę ciągłego procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia.

 

Wytyczne Europejskiej Rady Ochrony Danych 7/2020 w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO

 

Europejska Rada Ochrony Danych wskazała na obowiązek korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniająwystarczające gwarancje wdrożenia odpowiednich środków. Co więcej, ma to charakter obowiązku stałego, trwającego przez cały czas przetwarzania danych przez przetwarzającego w imieniu administratora 

 

Kontrola procesora – o czym pamiętać?

 

Administrator powinien na każdym etapie, zarówno przed podpisaniem umowy powierzenia, jak i w jej trakcie sprawdzać, czy procesor zapewnia odpowiednie środki techniczne i organizacyjne, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

 

Zgodnie z UODO:

– na administratorze spoczywa także obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Zarówno wprowadzenie odpowiednich środków bezpieczeństwa, jak i ich sprawdzanie nie jest działaniem jednorazowym. Powinno ono przybrać formę ciągłego procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia.

  • W jaki sposób?

 

Przykładowo, poprzez ankiety weryfikacyjne, które są przekazywane firmie zewnętrznej przed podpisaniem umowy powierzenia w celu sprawdzenia, czy ta firma jest w stanie zagwarantować odpowiednie środki techniczne i organizacyjne w trakcie przetwarzania powierzonych danych osobowych. Takie ankiety stosowane są także na dalszym etapie, w trakcie trwania umowy, co jest związane z regularnym audytowaniem procesora.

 

Należy pamiętać, że zakres kontroli stosowanej przez administratora powinien być dostosowany dozakresu powierzonych danych osobowych, ich kategorii (w przypadku danych osobowych szczególnych kategorii np. dane o stanie zdrowia ten zakres zabezpieczeń powinien być o wiele szerszy) oraz charakteru procesów związanych z przetwarzaniem, ich skali.

 

Jeżeli chcesz zapoznać się z całością decyzji Prezesa UODO w sprawie Fortum i PIKA, zajrzyj tutaj.

Dziękuję za Twoją uwagę:)

 

Jeżeli prowadzisz firmę i zdecydowałeś się w ramach realizacji niektórych zadań (np. obsługi finansowo-księgowej), przekazać je do wykonania innym podmiotom tzw. outsourcing, PAMIĘTAJ o podpisaniu z takim podmiotem umowy powierzenia przetwarzania danych osobowych. Zapraszam Cię do zapoznania się z propozycją dot. zakupu takiego dokumentu, tutaj. 

 

Jeżeli potrzebujesz pomocy w zakresie ochrony danych osobowych, to zapraszam do kontaktu. W ramach moich usług prawniczych doradzam w tym temacie.

Ostatnie wpisy

Czy psychoanalityk jest zawodem medycznym?
31 stycznia 2023
By: Oktawia Zarzecka
Tajemnica zawodowa psychologa a działania podejmowane przez kuratora sądowego – o czym warto wiedzieć?
7 grudnia 2022
By: Oktawia Zarzecka
Wdrożenie RODO w prywatnym gabinecie psychologa i psychoterapeuty – jak to wygląda?
22 września 2022
By: Oktawia Zarzecka
Co psycholog i psychoterapeuta, może powiedzieć rodzicom małoletniego klienta/pacjenta?
7 września 2022
By: Oktawia Zarzecka

Dodaj swój komentarz

Kancelaria Radcy Prawnego Oktawia Zarzecka 2019-2022 © Wszystkie prawa zastrzeżone.