UODO nałożył na Fortum Marketing and Sales Polska S.A. rekordową wysoką karę pieniężną, bo wynoszącą ponad 4,9 mln zł. To pierwsza tak wysoka sankcja w Polsce. 

Firma została ukarana za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego. Eksperci nie mają wątpliwości, że nałożenie tej kary trzeba traktować,  jako sygnał dla administratorów i podmiotów przetwarzających, że UODO bardzo poważnie podchodzi do wymogu wskazanego w art. 28 ust. 1 RODO. Zgodnie z nim, administrator może powierzać przetwarzanie danych wyłącznie podmiotom, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

Oznacza to jedno, że nie można przetwarzania przez nawet największego profesjonalistę puścić samopas – trzeba nad takim przetwarzaniem czuwać, a jeżeli się nie czuwa, wówczas administrator naraża się na karę, jak w przypadku Fortum.

Czytaj też: Spór o cookies, czyli czy samo ustawienie przeglądarki wystarczy>>

WZORY DOKUMENTÓW DO POBRANIA:

 

Wyciekły dane w  internecie

Naruszenie ochrony danych polegało konkretnie na skopiowaniu danych klientów administratora przez nieuprawnione osoby. Doszło do tego w momencie wprowadzania zmian przez podmiot przetwarzający, z którym administrator współpracuje na podstawie zawartych umów w tym powierzenia przetwarzania danych osobowych.  

W trakcie nanoszenia zmian utworzona została dodatkowa baza danych klientów Fortum. Baza ta została skopiowana przez nieuprawnione osoby, gdyż serwer, na którym się znajdowała, nie miał odpowiednio skonfigurowanych zabezpieczeń.

Administrator dowiedział się o tym nie od podmiotu przetwarzającego, ale od dwóch niezależnych internautów, którzy powiadomili go, że mają nieuprawniony dostęp do bazy.

PROCEDURA Powierzenia przetwarzania danych osobowych >

UODO ustalił, że spółka w postanowieniach umownych z podmiotem przetwarzającym określiła wymogi w zakresie bezpieczeństwa danych osobowych, które należy zastosować, m.in. pseudonimizację i szyfrowanie danych osobowych. Podmiot przetwarzający działał więc niezgodnie z powszechnie znanymi normami ISO, a jednocześnie wbrew postanowieniom własnej „Polityki bezpieczeństwa”, która do tych norm się odwołuje. 

Czytaj też: Pseudonimizacja i szyfrowanie danych osobowych ze wskazaniem dobrych praktyk >

Lista grzechów jest jednak dłuższa. Nie stosował się  także do postanowień umowy powierzenia przetwarzania danych osobowych, w której zobowiązał się m.in. do wdrożenia pseudonimizacji danych, którą miał traktować jako mechanizm gwarantujący odpowiedni poziom bezpieczeństwa danych. Gdyby wówczas osoba nieuprawniona weszła w posiadanie poddanych pseudonimizacji danych, np. w wyniku wystąpienia naruszenia ochrony danych osobowych, to nie byłaby w stanie ich przypisać do konkretnej osoby bez dysponowania dodatkowymi informacjami o tej osobie.

Potrzebny audyt wykonywania usługi

- W  tej konkretnie sprawie UODO wyraźnie podkreślił, że najskuteczniejszym sposobem zapewnienia  wiedzy przez administratora jest dokonywanie w podmiocie przetwarzającym stosownych audytów, w tym inspekcji. Takich środków bezpieczeństwa Fortum jednak nie zastosowała, co w konsekwencji przyczyniło się do wystąpienia naruszenia ochrony danych osobowych. Co więcej, stosowanie tych środków jest powiązane z obowiązkiem administratora danych wynikającym z art. 28 ust. 1 rozporządzenia 2016/679, co oznacza, iż jego wykonanie ma także potwierdzić, czy podmiot przetwarzający w dalszym ciągu daje gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą - podkreśla dr Mirosław Gumularz z Wyższej Szkoły Bankowej w Warszawie, radca prawny w GKK Gumularz Kozik.

Czytaj też: Standardowe klauzule umowne między administratorami a podmiotami przetwarzającymi (SCC) >

Przestroga dla innych 

Prawnicy uważają, że kara nałożona na Fortum S.A. została nałożona w związku z jednym z najbardziej newralgicznych elementów procesów przetwarzania danych, jakim jest współpraca na linii administrator danych – podmiot przetwarzający.

- Administrator danych może korzystać wyłącznie z usług takich przetwarzających, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków – czyli zanim powierzymy, musimy sprawdzić, czy przetwarzający in spe należycie będzie chronił nasze dane. Ale jednocześnie głównym źródłem problemów w tego rodzaju sytuacjach jest przeświadczenie administratora, że jeżeli już wybrał przetwarzającego, zawarł odpowiednią umowę, określił w odpowiedni sposób swoje wymagania, to jego rola się kończy – przecież zatrudnił profesjonalistę. A tymczasem nic bardziej mylnego - przestrzega Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński.
Administrator przez cały czas trwania powierzenia powinien:

  • sprawdzać, czy przetwarzający nadal spełnia wszystkie warunki należytej ochrony danych osobowych,
  • reagować na to, co się dzieje po stronie przetwarzającego,
  • egzekwować od przetwarzającego wymagania wynikające z RODO i z umowy.

Zdaniem Pawła Litwińskiego, zwłaszcza ta pierwsza kwestia ma ogromne znaczenie. – Jak podkreśliła Europejska Rada Ochrony Danych, obowiązek korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków, ma charakter obowiązku stałego, trwającego przez cały czas przetwarzania danych przez przetwarzającego w imieniu administratora (Wytyczne Europejskiej Rady Ochrony Danych 7/2020 w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO, str. 30). Dlatego, kolokwialnie rzecz ujmując, nie można przetwarzania przez nawet największego profesjonalistę puścić samopas – trzeba nad takim przetwarzaniem czuwać, a jeżeli się nie czuwa, wówczas administrator naraża się na karę, jak w przypadku Fortum - tłumaczy. 

 

Ankiety są,  ale z ich jakością jest różnie 

Praktycznie w każdej umowie powierzenia przetwarzania danych znajdują się zapisy dotyczące możliwości przeprowadzenia audytu u procesora, tj. dotyczące  obowiązku sprawdzenia, czy dany podmiot daje gwarancję ochrony danych osobowych. - Co stanowi próbę implementacji art. 28 ust. 1 RODO.  To swego rodzaju zabezpieczenie dla administratora, że chce być zgodny z RODO.  Oczywiście co bardziej świadomi administratorzy proces zawarcia umowy powierzenia poprzedzają ankietą (kwestionariuszem) weryfikacyjnym, który powinien zostać wypełniony przez potencjalnego podwykonawcę, który po rozpoczęciu współpracy stanie się podmiotem przetwarzającym - wyjaśnia Michał Sztąberek, prawnik,  Prezes I Secure

W jego ocenie jakość i szczegółowość tych ankiet jest bardzo różna. Trafiają się zarówno dość krótkie, zahaczające o parę wybranych obszarów np. 1 – 2 pytanie dotyczące procedur, 2 – 3 pytania dotyczące zabezpieczeń technicznych, jak i dużo bardziej rozbudowane, bardzo często bazujące np. na załączniku A (normatywnym) do normy ISO 27001.

Czytaj też: Obowiązki administratorów związane z naruszeniami ochrony danych osobowych >

Czy wypełnienie tych ankiet zapewni spokój administratorowi i uchroni przed potencjalną sankcją finansową? - Komentowana decyzja zakłada raczej dużo bardziej aktywną rolę administratora. W skrócie – ankieta weryfikacyjna wypełniana przed rozpoczęciem współpracy to tak naprawdę dopiero początek. UODO oczekuje, że współpraca na linii administrator – procesor będzie dużo bardziej pogłębiona, a regularne audyty procesora staną się normą. W końcu nikt nie chce dostać kary na poziomie 4,9 mln zł. - twierdzi Michał Sztąberek. 

To nie pierwsza taka decyzja, ale kara najwyższa

Relacje administrator – przetwarzający były w ostatnim czasie przedmiotem co najmniej kilku decyzji o nałożeniu kary:

  • na Krajową  Szkołę Sądownictwa i Prokuratury, gdzie naruszenie wystąpiło po stronie przetwarzającego, ale przetwarzający w tym zakresie działał na polecenie administratora, a dodatkowo do administrator winien czuwać nad tym, czy przetwarzający zapewnia odpowiedni poziom bezpieczeństwa danych (utrzymana przez WSA0,
  • na Cyfrowy Polsat, której sens sprowadza się do stwierdzenia, że korzystanie przez administratora danych z usług podmiotu przetwarzającego nie zwalnia administratora z ciągłego monitorowania przestrzegania przez przetwarzającego przepisów o ochronie danych osobowych i reagowania na stwierdzone nieprawidłowości (uchylona przez WSA z powodów proceduralnych, ta myśl nie została zakwestionowana przez Sąd),
  • na ID Finance, gdzie wyciek danych nastąpił z systemów przetwarzającego, a kara została nałożona na administratora, co zdaniem WSA nastąpiło z naruszeniem prawa, przez co decyzja została uchylona.

To pokazuje, jak te relacje są skomplikowane (myli się nawet Urząd w ocenie stanu faktycznego, co pokazały wyroki w sprawach ID Finance i Cyfrowego Polsatu) i jak wiele jeszcze do zrobienia mają administratorzy i przetwarzający.

 

E-usługi a RODO

Małgorzata Ciechomska

Sprawdź  

  

-------------------------------------------------------------------------------------------------------------------

Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.