Stanowisko PUODO dotyczące weryfikacji wdrożenia przez podmiot przetwarzający odpowiednich środków technicznych i organizacyjnych
Urząd Ochrony Danych Osobowych w swoim ostatnim biuletynie dla Inspektorów Ochrony Danych Osobowych nr 4/06/23 wskazuje, w jaki sposób Administratorzy winni zweryfikować podmioty przetwarzające w zakresie wdrożenia przez nie odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
Zgodnie z 28 ust. 1 RODO Administrator korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
Oznacza to, że Administrator, zarówno podejmując decyzję, komu powierzyć przetwarzanie danych osobowych, jak i w czasie trwania umowy powierzenia, ma prawo domagać się, aby podmiot przetwarzający udokumentował wdrożenie odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
Zdaniem PUODO trudno uznać, aby samo oświadczenie podmiotu przetwarzającego w tej sprawie było wystarczające dla weryfikacji przez administratora kompetencji procesora i spełniania przez niego wymogów z RODO. Ponieważ dane osobowe (stosownie do art. 5 ust. 1 lit. a i lit. f RODO) muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”) oraz w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”), to bardzo ważne z punktu widzenia administratora jest to, jakiemu podmiotowi powierza przetwarzanie tych danych. Tym bardziej, że art. 5 ust. 2 RODO stanowi, iż to administrator ponosi odpowiedzialność za przetwarzanie danych osobowych zgodnie z tymi zasadami i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).
Z Wytycznych Europejskiej Rady Ochrony Danych nr 7/2020 dotyczących pojęć administratora i podmiotu przetwarzającego zawartych w RODO wynika, że w czasie oceny procesora „Elementami, które należy wziąć pod uwagę, mogą być: wiedza fachowa podmiotu przetwarzającego (np. wiedza techniczna w zakresie środków bezpieczeństwa i naruszeń ochrony danych); wiarygodność podmiotu przetwarzającego; zasoby podmiotu przetwarzającego oraz stosowanie przez podmiot przetwarzający zatwierdzonego kodeksu postępowania lub mechanizmu certyfikacji”, a także, że „Administrator jest (…) odpowiedzialny za ocenę adekwatności gwarancji udzielonych przez podmiot przetwarzający i powinien być w stanie udowodnić, że poważnie wziął pod uwagę wszystkie elementy przewidziane w RODO. Ocena administratora, czy gwarancje są wystarczające, jest formą oceny ryzyka, która w znacznym stopniu zależy od rodzaju przetwarzania powierzonego podmiotowi przetwarzającemu i musi być dokonywana indywidualnie dla każdego przypadku, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania, a także zagrożeń dla praw i wolności osób fizycznych”. W tej kwestii EROD rekomenduje zapoznanie się administratora z odpowiednią dokumentacją (np. polityką prywatności, warunkami świadczenia usług, rejestrem czynności przetwarzania, polityką zarządzania dokumentacją, polityką bezpieczeństwa informacji, sprawozdaniami z zewnętrznych audytów ochrony danych, uznanych międzynarodowych certyfikatów, takich jak normy ISO 27000).
Brak weryfikacji podmiotu przetwarzającego oraz jego gwarancji dla przetwarzania zgodnie z przepisami o ochronie danych osobowych może wiązać się z konsekwencjami dla osób fizycznych, których dane osobowe zostały powierzone podmiotowi przetwarzającemu, np. w postaci utraty danych osobowych. Zatem decyzja, komu administrator ma powierzyć przetwarzanie danych osobowych nie może być podejmowana bezpodstawnie. Dopiero po zbadaniu kompetencji i adekwatności wybranego podmiotu przetwarzającego, administrator może przystąpić do zawarcia stosownej umowy powierzenia.
Co istotne, nie należy zapominać, że obowiązki administratora w zakresie zapewnienia powierzenia przetwarzania danych osobowych podmiotowi spełniającemu wymogi wskazane w art. 28 ust. 1 RODO, trwają co najmniej tak długo, jak okres powierzenia. Jak wskazano w powołanych wytycznych EROD „Obowiązek korzystania wyłącznie z usług podmiotów przetwarzających zapewniających wystarczające gwarancje zawarty w art. 28 ust. 1 RODO jest obowiązkiem ciągłym. Nie kończy się w momencie zawarcia umowy lub innego aktu prawnego przez administratora i podmiot przetwarzający. Administrator powinien raczej w odpowiednich odstępach czasu weryfikować gwarancje podmiotu przetwarzającego, w tym w stosownych przypadkach przez audyty i inspekcje”. Takie podejście organu nadzorczego potwierdzają wydane przez niego decyzje, w tym decyzja DKN.5131.29.2022.
Kancelaria zaleca swoim klientom stosowanie następujących środków pozwalających na weryfikację zgodności działań potencjalnego procesora z RODO:
i. Przy pomocy oświadczenia, zawierającego opis stosowanych środków bezpieczeństwa,
ii. Przy pomocy listy kontrolnej – tj.: poprzez pozyskanie odpowiedzi Podmiotu przetwarzającego na szczegółowe pytania, zawarte w stosownej liście kontrolnej przygotowanej przez ekspertów Kancelarii,
iii. Przy pomocy dodatkowych dokumentów – tj.: poprzez zwrócenie się do Podmiotu przetwarzającego o przekazanie dokumentów wykazujących, iż Podmiot przetwarzający spełnia wymogi w obszarze ochrony danych osobowych, w tym wymogi określone w RODO. Dokumenty te powinny obejmować zwłaszcza: politykę ochrony danych osobowych Podmiotu przetwarzającego, wyniki wewnętrznych lub zewnętrznych audytów, bądź innego rodzaju dokumentację wewnętrzną z obszaru ochrony danych osobowych.
W celu uzyskania pomocy w sformułowaniu w/w zapytań, serdecznie zapraszamy do kontaktu z Zespołem RODO.