„Długa współpraca administratora z podmiotem przetwarzającym nie daje gwarancji bezpieczeństwa danych.” Tak Prezes UODO zatytułował podsumowanie dotyczące jednej z wydanych decyzji. Przeprowadzenie weryfikacji podmiotu przetwarzającego często sprawia administratorom problemy. Jest tak zwłaszcza wtedy, gdy powierzenie dotyczy dziedziny, na temat której administrator dysponuje ograniczoną wiedzą albo nie posiada jej wcale.
Jedną z metod weryfikacji jest skorzystanie z listy kontrolnej, którą podmiot przetwarzający uzupełnia przed zawarciem umowy. W kontekście szybko rozwijającej się technologii warto taką weryfikację ponawiać. To, że podmiot przetwarzający spełniał kryteria na początku współpracy nie oznacza, że będzie tak zawsze. A może – zgodnie z pewnym orzeczeniem WSA – wystarczy po prostu oprzeć się na jego renomie?
Czego dotyczyło naruszenie?
Naruszenie polegało na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, skutkującym naruszeniem ich poufności i rozliczalności, oraz na braku weryfikacji podmiotu przetwarzającego, czy zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą
Jaka została nałożona kara?
Prezes UODO nałożył administracyjną karę pieniężną w wysokości:
- na administratora – 33.012 zł;
- na podmiot przetwarzający – 472 zł.
Administrator został też zobowiązany do zaprzestanie powierzenia przetwarzania w oparciu o umowę, która nie spełnia wymogów określonych w art. 28 ust. 3 lit. c), e), f) RODO.
Dlaczego została nałożona kara?
Chodziło o utratę poufności danych w wyniku działania wirusa komputerowego. Naruszenie dotyczyło danych osobowych około 800 osób, w tym ich imion, nazwisk, dat urodzenia, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, adresów e-mail oraz numerów telefonów.
W ocenie Prezesa UODO administrator nie wdrożył odpowiednich środków zabezpieczeń. Dopatrzył się także uchybień w zakresie szacowania ryzyka. Nie pominął również roli podmiotu przetwarzającego w tym procesie. Prezes UODO zauważył też, że umowa stanowiąca podstawę powierzenia przetwarzania nie odpowiadała warunkom określonym w RODO.
Wymierzając karę Prezes UODO wziął pod uwagę takie elementy jak:
- charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody – naruszenie dotyczyło dużej ilości osób, których interesy mogą być w dalszym ciągu zagrożone przez nieuprawnione wykorzystanie danych. Nie bez znaczenia pozostaje fakt, że administrator jest brokerem ubezpieczeniowym zobowiązanym na podstawie przepisów prawa do zachowania tajemnicy;
- stopień odpowiedzialności – administrator nie dopełnił swoich obowiązków w zakresie nadzoru nad podmiotem przetwarzającym;
- kategorie danych osobowych, których dotyczyło naruszenie – szeroki zakres danych obejmujący numer PESEL pozwala na naruszenie interesów osoby fizycznej, np. przez podszywanie się pod nią w celu zdobycia środków finansowych.
Okolicznościami łagodzącymi były:
- nieumyślny charakter naruszenia – administrator nie działał celowo;
- działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą – nie stwierdzono szkód majątkowych, a administrator zareagował bezpośrednio po zdarzeniu przeprowadzając audyt;
- stosowne wcześniejsze naruszenia przepisów RODO – nie stwierdzono takich naruszeń;
- stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków – administrator udzielił wyczerpujących wyjaśnień i angażował się w działania naprawcze;
- wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty – nie stwierdzono takich okoliczności.
Na decyzję Prezesa UODO nie miały wpływu:
- sposób w jaki organ nadzorczy dowiedział się o naruszeniu – zgłoszenia dokonał administrator, realizując tym samym swój obowiązek prawny;
- przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 RODO – nie zastosowano wcześniej takich środków
- stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 RODO – administrator nie stosuje takich mechanizmów.
Co wziął pod uwagę Prezes UODO nakładając karę na podmiot przetwarzający?
Motywy nałożenia kary na podmiot przetwarzający były w zasadzie spójne z tymi, które wskazałem powyżej. Główną różnicą jest kwestia odpowiedzialności z uwzględnieniem wdrożonych środków technicznych i organizacyjnych. W tym zakresie Prezes UODO wskazał na zaniedbania po stronie podmiotu przetwarzającego polegające na niewprowadzaniu zmian w systemie informatycznym, co w przypadku profesjonalisty stanowi okoliczność obciążającą.
Wnioski?
- Długa współpraca z podmiotem przetwarzającym nie stanowi argumentu w odniesieniu do spełniania przez niego gwarancji bezpieczeństwa przetwarzania danych.
- Wykorzystywanie narzędzi wymaga stałego monitorowania ich skuteczności i wdrażania skutecznych środków ochrony danych.
- Jednorazowa weryfikacja podmiotu przetwarzającego może nie wystarczyć. W kontekście szybkiego rozwoju technologicznego warto tę weryfikację powtarzać.
Link do decyzji: KLIK!