Zadzwoń: +48 665 114 309

Napisz: o.zarzecka@kancelaria-oz.pl

Kontrola podmiotu przetwarzającego dane – administrator danych osobowych

utworzone przez | 13 czerwca 2022 | Prawo dla Biznesu, RODO i e-commerce | 0 komentarzy

Kontrola podmiotu przetwarzającego dane

Kontrola podmiotu przetwarzającego dane jest niezwykle istotnym etapem w zapewnieniu ochrony prywatności oraz przestrzegania przepisów Ogólnego Rozporządzenia o Ochronie Danych (RODO). Administratorzy danych osobowych powierzając (na podstawie umowy powierzenia przetwarzania danych osobowych) dane osobowe do przetwarzania podmiotom przetwarzającym (inaczej procesorom) zapominają o realizacji swojego obowiązku, związanego z kontrolą takiego podmiotu w trakcie trwania umowy powierzenia. Czy słusznie, czy wystarczy jedynie podpisanie umowy powierzenia i „zrzucenie” odpowiedzialności za bezpieczeństwo przetwarzania tych danych na procesora? O tym przeczytasz w moim artykule.

Kontrola podmiotu przetwarzającego dane – kluczowe aspekty

Kontrola podmiotu przetwarzającego dane, czyli o tym co musi wiedzieć administrator danych. Jeżeli administrator powierza zewnętrznej firmie do przetwarzania dane osobowe, określając zakres i cel tego przetwarzania, wtedy ta zewnętrzna firma występuje w roli podmiotu przetwarzającego i konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych.

Co ważne, administrator może powierzać przetwarzanie danych wyłącznie podmiotom, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Wynika to z art. 28 ust. 1 RODO.

Z punktu widzenia obowiązków administratora we wspomnianym zakresie, bardzo ważna jest ostatnia decyzja Prezesa Urzędu Ochrony Danych Osobowych w sprawie Fortum Marketing and Sales Polska S.A. (administrator) i PIKA sp. z o.o. (podmiot przetwarzający/procesor).

Sprawa Fortum i PIKA a kontrola podmiotu przetwarzającego dane – omówienie

Fortum Marketing and Sales Polska S.A. zawarła z PIKA sp. z o.o. umowę powierzenia przetwarzania danych osobowych, co miało związek z łączącą strony umową na usługę prowadzenia archiwum, w tym archiwum cyfrowego.

Naruszenie ochrony danych polegało na skopiowaniu danych klientów administratora przez nieuprawnione osoby. Doszło do tego w momencie wprowadzania zmiany w środowisku teleinformatycznym.

Podmiot przetwarzający dokonując ww. zmian, utworzył dodatkową bazę danych klientów Fortum. Baza ta została jednak skopiowana przez nieuprawnione osoby, gdyż serwer, na którym została ona wdrożona, nie miał odpowiednio skonfigurowanych zabezpieczeń. Administrator danych dowiedział się o incydencie nie od podmiotu przetwarzającego, a od dwóch niezależnych internautów, którzy powiadomili go, że mają nieuprawniony dostęp do bazy.

Za dopuszczenie do skopiowania przez firmę współpracującą danych osobowych klientów na administratora została nałożona administracyjna kara pieniężna w wysokości ponad 4,9 mln zł. Natomiast podmiot przetwarzający, który skopiował te dane, został przez Prezesa Urzędu Ochrony Danych Osobowych ukarany grzywną w wysokości 250 tys. zł.

Obowiązki administratora na kanwie sprawy Fortum i PIKA

  • Administrator pomimo wdrożonych procedur oraz posiadanej wiedzy, jak zgodnie z powszechnie stosowanymi praktykami powinno przebiegać wprowadzanie zmian w systemach informatycznych, na żadnym etapie wdrożenianie prowadził nadzoru nad tym, czy wdrożenie faktycznie przebiega zgodnie z powszechnie obowiązującymi standardami.
  • Administrator nie egzekwował od podmiotu przetwarzającego realizacji umów, nie stosował się do własnej praktyki wdrażania zmian w środowisku IT opartej o wewnętrzne regulacje oraz nie weryfikował podmiotu przetwarzającego w zakresie prowadzonych działań mających na celu usprawnienie funkcjonowania usługi.
  • Na administratorze spoczywa obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Zarówno wprowadzenie odpowiednich środków bezpieczeństwa, jak i ich sprawdzanie nie jest działaniem jednorazowym. Powinno ono przybrać formę ciągłego procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia.

Wytyczne Europejskiej Rady Ochrony Danych 7/2020 w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO

Europejska Rada Ochrony Danych wskazała na obowiązek korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków. Co więcej, ma to charakter obowiązku stałego, trwającego przez cały czas przetwarzania danych przez przetwarzającego w imieniu administratora 

Kontrola procesora – o czym pamiętać?

Administrator powinien na każdym etapie, zarówno przed podpisaniem umowy powierzenia, jak i w jej trakcie sprawdzać, czy procesor zapewnia odpowiednie środki techniczne i organizacyjne, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

Zgodnie z UODO:

– na administratorze spoczywa także obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Zarówno wprowadzenie odpowiednich środków bezpieczeństwa, jak i ich sprawdzanie nie jest działaniem jednorazowym. Powinno ono przybrać formę ciągłego procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia.

W jaki sposób?

Przykładowo, poprzez ankiety weryfikacyjne, które są przekazywane firmie zewnętrznej przed podpisaniem umowy powierzenia w celu sprawdzenia, czy ta firma jest w stanie zagwarantować odpowiednie środki techniczne i organizacyjne w trakcie przetwarzania powierzonych danych osobowych. Takie ankiety stosowane są także na dalszym etapie, w trakcie trwania umowy, co jest związane z regularnym audytowaniem procesora.

Należy pamiętać, że zakres kontroli stosowanej przez administratora powinien być dostosowany dozakresu powierzonych danych osobowych, ich kategorii (w przypadku danych osobowych szczególnych kategorii np. dane o stanie zdrowia ten zakres zabezpieczeń powinien być o wiele szerszy) oraz charakteru procesów związanych z przetwarzaniem, ich skali.

Jeżeli chcesz zapoznać się z całością decyzji Prezesa UODO w sprawie Fortum i PIKA, zajrzyj tutaj.

Dziękuję za Twoją uwagę:)

 

ikona postaci

Jeżeli prowadzisz firmę i zdecydowałeś się w ramach realizacji niektórych zadań (np. obsługi finansowo-księgowej), przekazać je do wykonania innym podmiotom tzw. outsourcing, PAMIĘTAJ o podpisaniu z takim podmiotem umowy powierzenia przetwarzania danych osobowych. Zapraszam Cię do kontaktu w celu przygotowania tego dokumentu Kontakt 

 

Jeżeli potrzebujesz pomocy w zakresie ochrony danych osobowych, to zapraszam do kontaktu. W ramach moich usług prawniczych doradzam w tym temacie.

Udostępnij

0 komentarzy

Wyślij komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Udostępnij

Tagi wpisu

administrator danych osobowych | ankieta | audyt | kara administracyjna | kara pieniężna | kontrola procesora | naruszenie ochrony danych osobowych | ochrona danych osobowych | podmiot przetwarzający | prawnik RODO | prawnik RODO Kielce | procesor | PUODO | radca prawny RODO | radca prawny RODO Kielce | RODO | środki techniczne i organizacyjne | umowa powierzenia przetwarzania danych osobowych | UODO

Kategorie

Popularne wpisy