Właściwie do prawdy, która jest w tytule doszedł każdy, kto wdrażał rodo jeszcze przed 25.5.2018 r., ostatnio jednak stwierdził to WSA. Zgodnie z art. 28 ust. 1 rodo administrator może powierzyć przetwarzanie danych jedynie takiemu procesorowi, który wdrożył i przestrzega rodo. Już sam fakt powierzenia danych bez uprzedniego sprawdzenia procesora obciąża administratora – tzn. nawet gdyby okazało się, że procesor wdrożył rodo, ale nie został sprawdzony, ponieważ administrator musi co najmniej wykazać się starannością w tym względzie, czyli administrator odpowiada już za to, że nie sprawdził procesora, a nie dopiero za to, że ten nie wdrożył rodo.
Audyt fizyczny a zdalny
Właściwie aby bezsprzecznie spełnić wymóg wyboru pewnego procesora należało by dokonać u niego audytu fizycznego przed przekazaniem danych pod jego kontrolę.
Ten wymóg okazuje się jednak nierealny do spełnienia w przypadku procesorów, którzy mają bardzo wielu klientów (administratorów), ponieważ gdyby każdy chciał ich audytować, to nic by nie robili tylko przyjmowali audytorów. Widać to szczególnie wyraźnie w przypadku takich gigantów jak Microsoft czy Google, z których usług korzystają miliony administratorów, a użytkowników (podmiotów danych) mają nawet miliardy. Przecież wiadomo, że nie przyjmą ich wszystkich w Dolinie Krzemowej.
Ale problemy z fizycznymi audytami mają również mniejsi procesorzy o zasięgu krajowym. Stąd praktyka wykształciła audyt zdalny, pisemny, który polega na doręczeniu procesorowi dokumentu zwykle nazywanego „Ankietą weryfikacyjną”, który następnie procesor wypełnia i odsyła, w ten sposób składając oświadczenia i zapewnienia nt. poziomu wdrożenia rodo w swojej organizacji. Mając taki dokument od procesora administrator, jest w stanie wykazać zgodnie z zasadą rozliczalności, że powierzył dane sprawdzonemu procesorowi (nie jest to najpewniejsza forma sprawdzenia, nie tak jak audyt fizyczny, ale jednak wypełniona ankieta przynajmniej uprawdopodabnia, że rodo zostało u procesora wdrożone).
Wyrok WSA
Co do Microsoft Teams wypowiedział się WSA w wyroku z dnia 19 kwietnia 2022 r., sygn. akt: II SA/Wa 2259/21. Sąd potwierdził, że wdrożenie rodo przez gigantów informatycznych należy uznać za fakt notoryjny, czyli powszechnie znany, który należy przyjąć bez dowodu, ewentualnie że takie jest domniemanie faktyczne (przesłanka domniemania: renomowany podmiot; wniosek domniemania: wdrożył rodo). Nie może umknąć uwadze, że w przypadku renomowanych usługodawców, zanika praktyczna doniosłość instytucji powierzenia, ponieważ uprzednie sprawdzenie, które jest jej główną wartością i warunkiem realizacji celu powierzenia (zwiększenie bezpieczeństwa osób, których dane dotyczą), ani nie jest możliwe, ani nie jest potrzebne, jak orzeka wniosek domniemania, a co właśnie potwierdził WSA.
Fragment uzasadnienie:
„Takie brzmienie przepisów RODO wskazuje na to, że administrator powinien dokonać uprzedniego zbadania, czy podmiot przetwarzający spełnia wymogi określone w art. 28 ust. 1 RODO. Jak wskazuje również motyw 81 preambuły do RODO, administrator powinien korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności, jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom RODO, w tym wymogom bezpieczeństwa przetwarzania.
Nie ulega wątpliwości, że powyższe warunki zostały w niniejszej sprawie spełnione, albowiem wybór przez Szkołę platformy MS Teams prowadzonej przez profesjonalny podmiot, jakim jest renomowana Microsoft Corporation, która stanowić będzie w tym przypadku procesora (czyli podmiot, który – w ramach powierzenia przetwarzania danych – przetwarza w imieniu administratora dane przez niego powierzone), z całą pewnością gwarantuje stosowanie przez podmiot przetwarzający środków organizacyjnych i technicznych, o których mowa w art. 28 ust. 1 RODO.”
Z wyroku wiemy, że Microsoft Sąd uznaje za renomowany podmiot, pytanie jest otwarte kogo na gruncie krajowym można za taki uznać. Wydaje się, że znani od lat dostawcy poczty elektronicznej, czy innych rozwiązań chmurowych będą się kwalifikowali.
Polityka prywatności z wynikiem audytu
Warto zwrócić uwagę na jeszcze jedną rzecz. Microsoft podobnie jak i Google, publikuje na swoich stronach informacje, kierowane nie tylko do podmiotów danych, o tym jak przetwarzają dane osobowe. Czyli nie jest to klasyczna polityka prywatności, która zawiera informacje z art. 13 i 14 rodo, ale znacznie bardziej rozbudowany dokument stanowiący wyciąg z polityk bezpieczeństwa. Jest to w takim razie dokument w swojej treści odpowiadający na typową ankietę weryfikacyjną. Czyli firmy te z góry odpowiadają na ankiety weryfikacyjne zapewniając rozliczalność administratorom, którzy powierzają im dane.
Takie oświadczenia i zapewnienia złożone w formie elektronicznej na stronie internetowej, nie mają mniejszej wartości niż wypełniona i odesłana do administratora ankieta, a można w ten sposób zaoszczędzić czas, stąd warto będąc procesorem, rozważyć rozbudowę polityki prywatności na swojej stronie internetowej, o informacje skierowane do administratorów. Dodatkowo, choć ww. orzeczenie tych faktów nie łączy, można się spodziewać, że fakt publikacji wyników ankiety weryfikacyjnej, przyczyni się do oceny podmiotu jako renomowanego, oczywiście w powiązaniu z innymi okolicznościami, które świadczą o renomie.
Decyzja UODO
Niezweryfikowanie procesora było jedną z przyczyn nałożenia na administratora kary pieniężnej w decyzji z dnia 19 stycznia 2022 r. DKN.5130.2215.2020. W przeciwieństwie do WSA organ nadzorczy za nic miał fakt, że procesor jest „liderem rynkowym”, czyli podmiotem renomowanym.
Fragment uzasadnienia decyzji:
„W stanie faktycznym przedmiotowej sprawy wskazać należy, że skoro przetwarzanie ma być dokonywane w imieniu administratora, to zgodnie z brzmieniem art. 28 ust. 1 rozporządzenia 2016/679, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Długotrwała współpraca stron, nie poparta okresowym, systematycznym przeprowadzaniem audytów bądź inspekcji nie gwarantuje, iż podmiot przetwarzający zrealizuje w sposób prawidłowy zadania wymagane przepisami prawa oraz wynikające z zawartej umowy powierzenia. Dotychczasowa, pozytywnie oceniana współpraca stanowić może jedynie punkt wyjścia przy dokonywaniu weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Wymóg określony art. 28 ust. 1 rozporządzenia 2016/679 bezwzględnie obowiązuje bowiem każdego administratora danych, który w ramach prowadzonej działalności korzysta z zasobów lub usług podmiotu przetwarzającego podczas przetwarzania danych osobowych. Samo podpisanie umowy powierzenia przetwarzania danych osobowych bez dokonania odpowiedniej oceny podmiotu przetwarzającego nie może być uznane jako realizacja obowiązku przeprowadzenia postępowania weryfikującego podmiot przetwarzający pod kątem spełnienia przez niego wymogów rozporządzenia 2016/679. Z obowiązku przeprowadzenia takiej oceny nie zwalnia również fakt wieloletniej współpracy i korzystania z usług danego podmiotu przetwarzającego przed dniem 25 maja 2018 r., tj. przed rozpoczęciem stosowania rozporządzenia 2016/679.”