Zakres odpowiedzialności administracyjnej administratora – UODO nakłada karę na ado i procesora

UODO nałożył na administratora karę pieniężną w wysokości 33 tyś zł oraz na procesora w kwocie 472 zł. Organ wszczął postępowanie na skutek zgłoszenia naruszenia w trybie art. 33 rodo. Naruszenie polegało na utracie poufności danych na skutek błędu w konfiguracji serwera. Procesor (M.H.) pełnił u administratora funkcję ASI i działał wyłącznie na infrastrukturze administratora, przy czym nie podpisano z nim umowy o pracę, jednak działał jak pracownik pod kontrolą ado. Jak czytamy w uzasadnieniu decyzji, doszło do wydzielania wspólnego zasobu roboczego zawierającego dane osobowe i udostępnienia go pracownikom w sieci lokalnej i zdalnie. Zaniechano przeprowadzenia testów dotyczących zastosowanych środków bezpieczeństwa zarówno przed, jak i po udostępnieniu danych w nowej lokalizacji. Ich prawidłowe przeprowadzenie pozwoliłyby na wykrycie powstałego błędu, tj. udostępnienia niezabezpieczonego przed dostępem osób nieuprawnionych zasobu również w niewłaściwej lokalizacji, co było bezpośrednią przyczyną zaistnienia naruszenia ochrony danych osobowych. Ponadto umowa powierzenia zawarta przez przedsiębiorców zawierała braki w elementach koniecznych.

Uzasadnienie jest obszerne i wyczerpujące, można wskazać następujące najciekawsze fragmenty:

  • „(…) M. H. (…) pełni w (…) funkcję ASI. Zgodnie z zawartą umową (…) (Załącznik nr (…) do pisma z dnia […].12.2020 r.) dokonywane przez niego przetwarzanie danych osobowych odbywa się w ramach infrastruktury (…) na zasadach wskazanych w wewnętrznej dokumentacji i procedurach. (…) nigdy nie zidentyfikował przetwarzania dokonywanego przez ASI w sposób niezgody z przyjętymi wewnętrznymi procedurami. (…) M. H. podlega w tym zakresie takiej samej, bieżącej kontroli, jak inni pracownicy (…)”.
  • „Jest to współpraca bezpośrednia, wszelkie czynności jakie wykonywane są przez (…) M. H. na informacjach przetwarzanych przez (…), dokonywane są w środowisku informatycznym (…). Dlatego też wszelkie stosowane przez (…) M. H. procedury, zasady, zabezpieczenia, etc., są tymi, które zostały wdrożone i są stosowane przez (…).
  • „Zgodnie z zawartą umową powierzenia przetwarzania danych, dokonywane przez (…) M. H. przetwarzanie danych osobowych odbywa się na zasadach wskazanych w wewnętrznej dokumentacji i procedurach (…). Oznacza to, że (…) nie ma możliwości dobrowolnego kształtowania rozwiązań organizacyjnych związanych z przetwarzaniem danych osobowych. Fakt zawarcia umowy powierzenia przetwarzania danych osobowych wynika z rodzaju współpracy (b2b) i braku możliwości nadania upoważnienia do przetwarzania danych osobowych (tak jak pozostałym pracownikom (…) zatrudnionym na podstawie umowy o pracę). (…) nigdy nie powziął informacji (choćby podejrzeń), że przetwarzanie danych osobowych dokonywane jest przez ASI w sposób niezgody z przyjętymi wewnętrznymi procedurami – co mogłoby uzasadniać dokonanie szczegółowych czynności kontrolnych”.
  • Nadto, z ostatnich wyjaśnień ASI i Administratora (które wpłynęły odpowiednio w dniach: […] i […] listopada 2022 r. i które stanowiły odpowiedź na wezwania organu nadzorczego do wyjaśnień mających na celu wnikliwe zbadanie roli (…) M. H. w procesie przetwarzania danych osobowych) wynika, że (…) M. H. nie był nigdy zatrudniony przez Administratora i przetwarzał dane osobowe jedynie na podstawie umowy powierzenia przetwarzania danych osobowych (a nie na podstawie upoważnienia do ich przetwarzania). (…) wskazał również, że (…) M. H. od początku współpracował z nim jako zewnętrzny specjalista, a (…) M. H. wyjaśnił, że w okresie tej współpracy wykonywał również usługi na rzecz innych podmiotów (m.in. w zakresie kompleksowej obsługi z zakresu IT). Wyjaśnienia te i dokonane w sprawie ustalenia wskazują na jego autonomiczną rolę w procesie przetwarzania danych osobowych klientów (…).
  • Jak wskazano w Wytycznych 07/2020 dotyczących pojęć administratora i podmiotu przetwarzającego zawartych w RODO (dalej zwanych: Wytycznymi 07/2020) Europejskiej Rady Ochrony Danych (cyt.): „Celem włączenia zasady rozliczalności do RODO i uczynienia jej główną zasadą było podkreślenie, że administratorzy danych muszą wdrożyć odpowiednie i skuteczne środki oraz być w stanie wykazać zgodność z przepisami. Zasada rozliczalności została doprecyzowana w art. 24 (…). Zasada rozliczalności znajduje również odzwierciedlenie w art. 28, w którym określono obowiązki administratora podczas korzystania z usług podmiotu przetwarzającego”.
  • W przedmiotowej sprawie należy więc najpierw zbadać, czy właściwe podmioty przed podjęciem działań zmierzających do wprowadzenia zmian w systemie informatycznym, przeprowadziły w sposób prawidłowy wyżej wskazany dwuetapowy proces, tj.:

1) czy dokonały analizy ryzyka wiążącego się z takimi działaniami, jako że wydzielanie wspólnego zasobu roboczego zawierającego repozytorium plików i udostępnienie go pracownikom w sieci lokalnej oraz zdalnie jest działaniem wprowadzającym zmianę w dotychczasowym przebiegu procesu przetwarzania danych osobowych i jako takie powinno być poprzedzone dokonaniem szczegółowych analiz pod kątem ustalenia wpływu tej czynności na bezpieczeństwo danych przetwarzanych w systemie,

2) czy (na podstawie ww. analizy) określiły oraz zastosowały środki techniczne i organizacyjne zapewniające stopień bezpieczeństwa danych osobowych przetwarzanych w tym systemie odpowiadający temu ryzyku (a także, czy zweryfikowały, czy dane zostały skutecznie zabezpieczone w lokalizacji, do której były replikowane).

  • Aby analiza ryzyka została przeprowadzona w sposób właściwy, konieczna jest pełna znajomość struktury wszystkich elementów systemu przetwarzania danych, zarówno służących do samego przetwarzania, jak i jego zabezpieczenia przed – w tym przypadku – nieuprawnionym dostępem. Należy również podkreślić, że wszelkie zmiany w systemach informatycznych służących do przetwarzania danych osobowych wymagają od administratora danych, a także od podmiotu przetwarzającego, zweryfikowania w pierwszej kolejności, czy dotychczas przeprowadzona analiza ryzyka uwzględnia zagrożenia związane z tym działaniem. Jeżeli nie, to ich obowiązkiem jest dokonanie takiej analizy, aby zidentyfikować te zagrożenia i określić środki bezpieczeństwa sprowadzające prawdopodobieństwo ich wystąpienia do poziomu ryzyka akceptowalnego.
  • Dokonując oceny prawidłowości działań Administratora i Podmiotu Przetwarzającego w powyższym kontekście należy podkreślić, że przedmiotowej analizy dokonują oba te podmioty, a nie jedynie Podmiot Przetwarzający, stąd argumentacja Administratora jest tu bezzasadna (obowiązek ten nie może spoczywać tylko na Podmiocie Przetwarzającym).
  • W przypadku ww. prac podjętych przez (…) w przedmiotowej sprawie należało wziąć pod uwagę ryzyko niezamierzonej replikacji danych i zamieszczenia ich w lokalizacji dostępnej dla osób nieupoważnionych. Uwzględniwszy to ryzyko, podmioty, na które obowiązki nakładane są na podstawie art. 32 ust. 1 i 2 rozporządzenia 2016/679, mogły zadecydować np. o ustawieniu haseł dostępowych do folderów zawierających dane osobowe albo o poddaniu plików zawierających takie dane szyfrowaniu lub pseudonimizacji. Pozwoliłoby to uniknąć naruszenia ochrony danych osobowych nawet w sytuacji przypadkowego udostępnienia kopiowanych plików osobom nieuprawnionym.
  • W przedmiotowej sprawie Administrator ograniczył się do polecenia Podmiotowi Przetwarzającemu dokonania zmian w systemie zmierzających do zapewnienia dostępu do danych osobowych pracownikom pracującym zdalnie, zakładając, że Podmiot Przetwarzający uwzględni ogólne zasady działania wynikające z ww. Polityki (…) (tj. podejście oparte na ryzyku), dokona analizy ryzyka związanego z takimi działaniami i dobierze odpowiednie środki techniczne i organizacyjne mające zapewnić bezpieczeństwo tych danych. Obowiązki w tym zakresie spoczywają jednak zarówno na Administratorze, jak i na Podmiocie Przetwarzającym i fakt podejmowania działań przez jednego z nich, nie wpływa na zwolnienie drugiego z obowiązków nałożonych na nich przepisem art. 32 ust. 1 i 2 rozporządzenia 2016/679.
  • Jak już wyżej przytoczono, (…) wskazał pismem (które wpłynęło do tutejszego Urzędu w dniu […] lutego 2022 r.), że w jego ocenie (cyt.): „(…) zastosowano adekwatne środki autoryzacji oraz zabezpieczenia zdalnego środowiska pracy, w szczególności w tym zakresie:

– wykorzystano serwer (…) wydzielając na nim zasób, do którego zostały skopiowane pliki,

– zastosowano ochronę antywirusową oraz ochronę przed atakami dla wydzielonego zasobu,

– zasób został udostępniony w sieci lokalnej oraz udostępniony zdalnie poprzez wykorzystanie wbudowanego w (…) serwera (…), który to został zabezpieczony szyfrowaniem (…),

– użyto mechanizmu (…) w celu dodatkowej ochrony udostępnionego zasobu za pomocą jego replikacji na oddzielny lokalny serwer (…)”.

Dobór powyższych środków technicznych i organizacyjnych dodatkowo (poza wyżej cytowanymi wyjaśnieniami Administratora i Podmiotu Przetwarzającego) świadczy o nieuwzględnieniu w analizie ryzyka (związanego z wydzielaniem nowego zasobu i udostępnianiem w nim plików pracownikom pracującym zdalnie) możliwości niezamierzonej replikacji danych i ich zamieszczenia w lokalizacji niezabezpieczonej przed dostępem osób nieupoważnionych. Środki te nie były bowiem adekwatne do tego rodzaju ryzyka. Nie uwzględniały np. szyfrowania kopiowanych danych, o którym wcześniej już wspomniano w uzasadnieniu niniejszej decyzji, czy zabezpieczania folderów plików (lub samych plików) hasłami dostępowymi.

  • W sytuacji wydzielania wspólnego zasobu roboczego zawierającego repozytorium plików (a co za tym idzie: zawartych w nim danych osobowych) i udostępnienia go pracownikom w sieci lokalnej i zdalnie, wydaje się jasne, że powinny zostać przeprowadzone testy dotyczące zastosowanych środków bezpieczeństwa zarówno przed, jak i po udostępnieniu tych danych w nowej lokalizacji. Ich prawidłowe przeprowadzenie pozwoliłyby na wykrycie powstałego błędu, tj. udostępnienia niezabezpieczonego przed dostępem osób nieuprawnionych zasobu również w niewłaściwej lokalizacji, co było bezpośrednią przyczyną zaistnienia naruszenia ochrony danych osobowych. Obowiązek przeprowadzenia tego typu testów, zgodnie z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, spoczywa zarówno na podmiocie przetwarzającym, jak i administratorze danych.
  • Należy bowiem przyjąć, że obowiązki podmiotów uczestniczących w procesie przetwarzania danych osobowych nie powinny się kończyć na ww. dwuetapowym procesie, tj. na przeprowadzeniu analizy ryzyka i zastosowaniu odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych. W konsekwencji tego założenia, należy stwierdzić, że zarówno Administrator, jak i Podmiot Przetwarzający, powinni byli zweryfikować, czy dane osobowe zostały skutecznie udostępnione wyłącznie w zamierzonej lokalizacji, a także, czy są odpowiednio zabezpieczone przed dostępem do nich osób nieuprawnionych.
  • Omawiając obowiązki wynikające z art. 32 ust. 1 lit. d), należy również zaznaczyć, że Administrator przeprowadził audyty stanu bezpieczeństwa i organizacji infrastruktury IT, w ramach których dokonano oceny działań Podmiotu Przetwarzającego, dopiero po stwierdzeniu naruszenia bezpieczeństwa danych osobowych – niestety było to działanie spóźnione. Nie należy również zapominać, że nadzór administratora nad działaniami podmiotu przetwarzającego stanowi ważny środek organizacyjny mający na celu ochronę bezpieczeństwa przetwarzanych danych osobowych.
  • Wskazać ponadto należy, że obowiązki w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak aby spełniać wymogi tego rozporządzenia, zostały nałożone na administratora danych (i tylko na administratora danych) przepisami art. 24 ust. 1 i art. 25 ust. 1 ww. rozporządzenia. Wobec braku zastosowania przez Administratora adekwatnych środków bezpieczeństwa, o czym wyżej mowa, uznać należy, iż naruszył on także i te przepisy rozporządzenia 2016/679.
  • Temu brakowi towarzyszy też fakt, że nie wykazano by Administrator nadzorował czynności podejmowane przez Podmiot Przetwarzający celem umożliwienia pracownikom pracy zdalnej oraz (jak już wspomniano we wcześniejszej części niniejszego uzasadnienia) by weryfikował prawidłowość przebiegu procesu zmian dokonywanych w swoich systemach.
  • Z wyjaśnień udzielonych przez Administratora na wezwanie z dnia […] lutego 2022 r. wynika, że decyzję o wprowadzeniu zmian podjął Administrator, zaś sposób przeprowadzenia czynności zmierzających do zapewnienia dostępu do plików pracownikom mającym pracować zdanie ustalony został przez Podmiot Przetwarzający (jako przez osobę odpowiedzialną za infrastrukturę IT w (…)). Należy zaznaczyć, że w przedmiotowej sprawie do naruszenia ochrony danych osobowych (wycieku danych) doszło w wyniku błędu Podmiotu Przetwarzającego, który wydzielając nowy zasób na potrzeby pracowników (…) mających pracować zdalnie, dokonał niezamierzonej replikacji danych w domenie Administratora, które to dane nie były zabezpieczone przed dostępem osób nieuprawnionych.
  • Nadto, polecenie dokonania zmian w systemie informatycznym (…) celem umożliwienia jego pracownikom pracy zdalnej nie zostało przekazane przez Administratora wraz z jakąkolwiek instrukcją co do metod zapewnienia bezpieczeństwa przetwarzanych danych. Przeciwnie: o sposobie ich wdrożenia decydować miał Podmiot Przetwarzający. Dowolność wyboru stosowanych rozwiązań przez Podmiot Przetwarzający w połączeniu z brakiem wdrożonych procedur dotyczących kontroli prawidłowości podejmowanych w tym zakresie czynności, doprowadziły w konsekwencji do naruszenia ochrony danych osobowych.

Gwarancje zapewniane przez procesora

  • Gwarancje „zapewniane” przez podmiot przetwarzający to te, które podmiot przetwarzający jest w stanie wykazać w sposób zadowalający administratora, ponieważ są to jedyne gwarancje, które administrator może skutecznie uwzględnić przy ocenie wypełniania swoich obowiązków. Często będzie to wymagało wymiany odpowiedniej dokumentacji (np. polityki prywatności, warunków świadczenia usług, rejestru czynności przetwarzania, polityki zarządzania dokumentacją, polityki bezpieczeństwa informacji, sprawozdań z zewnętrznych audytów ochrony danych, uznanych międzynarodowych certyfikatów, takich jak normy ISO 27000). Ocena administratora, czy gwarancje są wystarczające, jest formą oceny ryzyka, która w znacznym stopniu zależy od rodzaju przetwarzania powierzonego podmiotowi przetwarzającemu i musi być dokonywana indywidualnie dla każdego przypadku, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania, a także zagrożeń dla praw i wolności osób fizycznych. (…) Administrator powinien wziąć pod uwagę następujące elementy (…), aby ocenić, czy gwarancje są wystarczające: wiedza fachowa (np. wiedza techniczna w zakresie środków bezpieczeństwa i naruszeń ochrony danych); wiarygodność podmiotu przetwarzającego; zasoby podmiotu przetwarzającego. Reputacja podmiotu przetwarzającego na rynku może być również istotnym czynnikiem, który administratorzy powinni wziąć pod uwagę. Ponadto jako element umożliwiający wykazanie wystarczających gwarancji można wykorzystać przestrzeganie zatwierdzonego kodeksu postępowania lub mechanizmu certyfikacji. (…) Obowiązek korzystania wyłącznie z usług podmiotów przetwarzających „zapewniających wystarczające gwarancje” zawarty w art. 28 ust. 1 RODO jest obowiązkiem ciągłym. Nie kończy się w momencie zawarcia umowy lub innego aktu prawnego przez administratora i podmiot przetwarzający. Administrator powinien raczej w odpowiednich odstępach czasu weryfikować gwarancje podmiotu przetwarzającego, w tym w stosownych przypadkach przez audyty i inspekcje (…)«.
  • Należy wskazać bowiem, że Administrator na żadnym etapie wprowadzanych zmian nie prowadził nadzoru nad tym, czy zmiany te faktycznie przebiegają prawidłowo i czy przetwarzane dane osobowe są zabezpieczone przed dostępem osób nieuprawnionych (nadzór taki stanowi środek organizacyjny służący zapewnieniu bezpieczeństwu przetwarzanych danych osobowych).
  • Dokonywanie przeglądów i aktualizacja wdrożonych rozwiązań są także wymogiem sformułowanym wprost w art. 24 ust. 1 rozporządzenia 2016/679, a także wynikającym z art. 25 ust. 1 rozporządzenia 2016/679, kreującego obowiązek zapewnienia ochrony prywatności w fazie projektowania (privacy by design) i nakładającego na administratora zobowiązanie do wdrożenia odpowiednich środków technicznych zarówno w fazie określania sposobów przetwarzania, jak i w fazie samego przetwarzania (przy czym należy ponownie podkreślić, że obowiązki określone w przepisach art. 24 ust. 1 i 25 ust. 1 rozporządzenia 2016/679 obciążają wyłącznie administratora).
  • W przedmiotowej sprawie, w ocenie Prezesa UODO, weryfikacja przez Administratora sposobu realizacji przez Podmiot Przetwarzający zmian w systemie informatycznym, w którym przetwarzane były dane osobowe, znacząco obniżyłoby ryzyko uzyskania dostępu przez osoby nieuprawnione do danych przetwarzanych w tym systemie, a tym samym zminimalizowałoby ryzyko naruszenia praw lub wolności osób fizycznych, których dane są przez (…) przetwarzane, gdyż do naruszenia ochrony danych osobowych doszło w wyniku prostego błędu polegającego na niezamierzonej replikacji danych, co powinno zostać wykryte w toku procesu wdrażania zmian w systemie informatycznym przetwarzającym dane osobowe. Efektem powyższego zaniechania był brak działań (…) w celu zapewnienia bezpieczeństwa danych osobowych swoich klientów, do czego był zobowiązany zgodnie z wyżej przywołanymi przepisami rozporządzenia 2016/679, jako administrator tych danych. Podkreślić również należy, że z realizacji tych obowiązków nie zwalnia Administratora fakt korzystania z usług podmiotu przetwarzającego. Obowiązki w tym zakresie spoczywają bowiem przede wszystkim na administratorze danych. Analizując działania (a właściwe brak działań Administratora w tym zakresie), można wysnuć wniosek, że poprzestał na zgłoszeniu Podmiotowi Przetwarzającemu potrzeby dokonania modyfikacji, nie podejmując jakichkolwiek działań w zakresie zweryfikowania, czy w procesie dokonywania zmian w systemie zapewnione zostało bezpieczeństwo przetwarzania danych osobowych swoich klientów.
  • Zebrany w sprawie materiał również potwierdza, że przed wszczęciem postępowania administracyjnego Administrator nie przeprowadzał w podmiocie przetwarzającym audytów, w tym inspekcji, w celu sprawdzenia, czy (…) w sposób prawidłowy realizuje swoje obowiązki wynikające z rozporządzenia 2016/679 (w tym czy zapewnia stosowanie środków wymaganych na mocy art. 32 tego rozporządzenia). Możliwość przeprowadzenia takich audytów, w tym inspekcji, wynika z art. 28 ust. 3 lit. h) rozporządzenia 2016/679, stosownie do którego, umowa powierzenia przetwarzania danych osobowych ma stanowić, że podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. Przepis ten daje zatem administratorowi pewne narzędzia, z których korzystanie może zapewnić, że proces przetwarzania danych podlegających powierzeniu będzie zgodny z przepisami rozporządzenia 2016/679, a administrator uniknie odpowiedzialności za ich naruszenie.
  • Ponadto zawarta przez Administratora z Podmiotem Przetwarzającym Umowa powierzenia nie zawierała elementów określonych w art. 28 ust. 3 lit. c), e) i f) rozporządzenia 2016/679, tj. nie określała, że podmiot przetwarzający:

– podejmuje wszelkie środki wymagane na mocy art. 32;

– biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;

– uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36.

Komentarz do decyzji

Moim zdaniem decyzja zawiera dwa błędy w wykładni przepisów art. 28, 32 oraz 24 i 25 rodo.

Upoważnienie nie powierzenie

Pierwsza rzecz, organ nieprawidłowo przypisał M.H. rolę procesora. Ze stanu faktycznego wynika, że ado błędnie uznał, że skoro M.H. nie jest zatrudniony na um o pracę to należy podpisać z nim um powierzenia, bo nie można go upoważnić. Takie wyjaśnienie przekazał do UODO. Dodatkowo ustalono, że M.H. świadczył też usługi na rzecz innych przedsiębiorców, prowadził więc działalność gospodarczą. Z wyjaśnień wynika ponadto, że M.H. działał na infrastrukturze i pod kontrolą ado, jak pracownik, z tą jedynie różnicą, że nie miał um o pracę. Oczywiście zwykle odrębny przedsiębiorca jest procesorem, ale nie jest to kwestia decydująca. Zgodnie z funkcją um powierzenia, ma ona zabezpieczyć podmioty danych przed utratą kontroli nad ich danymi przez ado na rzecz niezweryfikowanego i nieświadomego obowiązków i odpowiedzialności wynikających z rodo podwykonawcy. To właśnie utrata kontroli jest przyczyną zastosowania tego środka organizacyjnego jakim jest umowa powierzenia. W umowie powierzenia administrator informuje podwykonawcę, jakie obowiązki wynikają z art. 28 rodo dla roli procesora, której się podjął zawierając um główną o świadczenie usług – w ten sposób wzrasta bezpieczeństwo podmiotów danych. W tym wypadku do utraty kontroli nie doszło, M.H. był po prostu zatrudniony niepracowniczo (samozatrudnienie).

Odpowiedzialność za weryfikację nie za nadzór

Drugi błąd polega na nieprawidłowym określeniu rozmiaru odpowiedzialności administracyjnej ado. Według wykładni zaproponowanej przez organ, ado ma obowiązek nie tylko sprawdzić procesora przed przekazaniem danych, nie tylko w sposób okresowy ponawiać sprawdzenia, np. raz w roku, ale ma nadzorować procesora (charakter ciągły). Ma kontrolować (nadzorować) czy to co powierzył zweryfikowanemu profesjonaliście zostało prawidłowo zrobione, a nawet czy na co dzień jest prawidłowo wykonywane w świetle prawa ochrony danych osobowych, w tym bezpieczeństwa IT, a także w świetle prawa które reguluje powierzoną problematykę, bo ono ma wpływ przez związki z rodo na tworzenie norm prawa ochrony danych osobowych, w powierzonym zakresie. Musiałby to robić za pomocą kolejnego profesjonalisty (sam nie ma kompetencji, dlatego właśnie podzlecił proces). Przecież instytucja powierzenia stanowi właśnie remedium na brak nadzoru nad danymi i podmiotem, któremu zostały powierzone. Jeśli ado ma nadzór nad osobą, która w jego imieniu przetwarza dane, to dla takiej sytuacji przewidziane jest upoważnienie a nie powierzenie.

Rodo używa pojęcia „nadzór” w kontekście działalności organu nadzorczego, nigdzie nie mówi o tym, żeby ado nadzorował procesora. Taka wykładnia oznacza, że jednoosobowy biegły rewident (ado) ma wynająć informatyków, żeby nadzorowali Microsoft (proc), z którego usług korzysta, a który został oceniony przez WSA jako renomowany procesor, który nie wymaga nie tylko nadzoru, ale nawet uprzedniego sprawdzenia.

Moim zdaniem błędnie organ twierdzi, że z art. 32 rodo wynika, że ten sam proces mają zabezpieczać ado i procesor jednocześnie. Motyw 83 zawiera alternatywę łączną „lub” mówiąc „W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporządzeniem administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki (…)” co oznacza również, że obowiązek w tym zakresie będzie obciążał wyłącznie procesora.

Art. 24 i 25 są klauzulami generalnymi, które mają rozwinięcie w dalszych przepisach, jednym z przepisów uszczegóławiających (modyfikujących) te dwa jest art. 28 rodo. Przepis ten stanowi w ust. 3 lit. c o obowiązku procesora zapewnienia środków o których mowa w art. 32 rodo. O obowiązku administratora przepis ten mówi w ust. 1, że ado może powierzyć przetwarzanie podmiotowi, który zapewnia wystarczające gwarancje bezpieczeństwa. Czyli administratora obciąża obowiązek zweryfikowania procesora, a nie sprawowania nadzoru nad nim tak jak nad pracownikiem. Nadzór jest niemożliwy dlatego, że ado nie ma kontroli nad infrastrukturą procesora, który zwykle działa też w innej lokalizacji, ani nie ma kompetencji, żeby nadzorować proces, który powierzył właśnie dlatego, że sam nie jest specjalistą w tym zakresie. Dlatego samodzielnie ustala cele ale sposoby ustala przez przyjęcie zastanych u procesora, który ma know-how co do powierzonych procesów. Czyli na potrzeby powierzenia art. 28 w sposób szczególny rozkłada obowiązki wynikające z art. 24 i 25 rodo i tym samym odpowiedzialność za ich niedopełnienie na administratora i procesora. I dlatego ado jest odpowiedzialny za legalność celu a procesor za legalność sposobu, w szczególności bezpieczeństwo danych.

Kontrola legalności poleceń ado

Przy tym procesor ma również kontrolować legalność polecenia administratora (art. 28 ust. 3 lit. h akapit 2 rodo). Czyli więcej obowiązków i większa odpowiedzialność (zarówno za cel jak i za sposób) położona jest na procesora, jest to naturalna konsekwencja faktu, że procesor jest ekspertem co do powierzonego procesu a administrator laikiem, który korzysta z pomocy eksperta – powierza proces ponieważ sam nie jest w stanie sobie z tym poradzić. Właśnie wiedza ekspercka procesora uzasadnia obowiązek kontroli (nadzorowania) poleceń ado, przykładowo jeśli jednoosobowy przedsiębiorca wyśle do biura rachunkowego polecenie, żeby 8 lat przechowywać fakturę, to wiedza księgowej (proc) pozwoli jej odpowiedzieć klientowi (ado), że zgodnie z art. 74 ust. 2 pkt 4 u.r. w zw. z art. 6 ust. 1 lit. c rodo okres retencji wynosi 5 lat od początku roku następującego po roku obrotowym, w którym operacje, transakcje i postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione. Procesor ma możliwość nadzorowania poleceń ado, bo można zidentyfikować kiedy jest potrzeba takiego nadzoru – w chwili wydania polecenia – a przy tym procesor jest kompetentny (ma przygotowanie teoretyczne i doświadczenie, które pozwala mu mieć swoje zdanie) do takiego nadzoru, natomiast żeby ado mógł nadzorować cały powierzony procesorowi proces, to musiałby w siedzibie jego firmy zainstalować stałego nadzorcę, wyspecjalizowanego w usługach które świadczy procesor (np. informatyczne, księgowe, windykacyjne, zarządzania nieruchomościami, zarządzania zasobami ludzkimi (hr) itd.). Czyli to procesor ma możliwość i obowiązek nadzorowania administratora, w zakresie wydawanych przez niego poleceń.

W związku z obowiązkiem określonym w akapicie pierwszym lit. h) podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

Ma to też wpływ na odpowiedzialność cywilną, na podstawie art. 82 ust. 2 zd. 2 rodo:

2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

W końcu niejednolite możliwości i obowiązki, a w konsekwencji niejednolity stopień odpowiedzialności potwierdza jedna z dyrektyw wymiaru kary z art. 83 ust. 2 lit. d rodo:

Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na: (…)

d) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;

Administrator realnie może i dlatego powinien zbadać czy procesor przeprowadził analizę ryzyka dla procesów które przyjmuje do powierzenia, czy ma dokumentację wymaganą na gruncie rodo również dla swojej roli administratora, czyli czy generalnie wdrożył rodo, ale sprawowanie nadzoru jest i niemożliwe i sprzeczne z celem instytucji powierzenia i dawało by efekt odpowiedzialności absolutnej za sam fakt powierzenia, co jest też sprzeczne z fragmentem uzasadnienia decyzji gdzie organ trafnie stwierdza, że ado może się uwolnić od odpowiedzialności administracyjnej przez dokonanie audytu (zdalnego czy fizycznego) procesora. Jednak audyt uprzedni i audyty okresowe to nie to samo co stały nadzór nad merytoryczną działalnością procesora. Nawet sprawowanie pełnego nadzoru nad pracownikiem jest w praktyce niemożliwe, ale uzasadniona jest odpowiedzialność za pracownika i cywilna i administracyjna, ponieważ przedsiębiorca (ado) czerpie zyski z zatrudnienia osoby. Natomiast absolutna odpowiedzialność administracyjna za innego przedsiębiorcę nie ma żadnego uzasadnienia.

Trafnie WSA stwierdza (rekonstruuje normę z przepisów rodo), że renomowanego procesora nie trzeba audytować. Norma jaką zrekonstruował sąd wytwarza kolejną przez zastosowanie reguł inferencji, niezbędnych w procesie wykładni prawa: jeśli nie trzeba mniej to tym bardziej nie trzeba więcej. Szkoła nie tylko nie musi na gruncie rodo audytować Microsoftu, ale tym bardziej nie musi nadzorować pracy informatyków tego potentata informatycznego (do czego nie ma skądinąd kompetencji na gruncie prawa cywilnego i pracy).

Renoma procesora poprzez działanie domniemania faktycznego zastępuje audyt. Skoro więc renomowanego procesora nie trzeba nadzorować to audytowanego również. Taki wniosek płynie z samej normy wypowiedzianej przez WSA, niezależnie od tego że również z prawidłowo wyłożonych przepisów rodo.

W tej sprawie organ powinien ustalić, że wybrakowana umowa powierzenia, była faktycznie upoważnieniem, które na obecnym stanie prawnym nie potrzebuje zresztą formy pisemnej. Gdyby faktycznie ASI działał jako procesor, czyli gdyby dane wychodziły od ado na infrastrukturę ASI, to powinien zostać sprawdzony przez audyt lub wymianę dokumentacji, zwłaszcza analizy ryzyka, ale ado nie ma obowiązku zatrudniać kolejnych informatyków, żeby nadzorowali tego któremu zlecił usługę. Ado i procesor odpowiadają administracyjnie za własne naruszenie rodo, art. 28 stanowi o delegacji odpowiedzialności administracyjnej w zakresie obowiązków procesora z art. 28 ust. 3 rodo, w szczególności zapewnienia bezpieczeństwa danych. Podobnie jeśli proc nie zgłosi niezwłocznie do ado naruszenia odo (art. 28 ust. 3 lit. f w zw. z art. 33 ust. 2 rodo), to jest to jego własne naruszenie rodo, za które ado nie odpowiada a termin 72h dla ado otwiera się od chwili zgłoszenia przez procesora. Administrator powinien sprawdzić czy procesor posiada procedurę zgłaszania naruszeń, ale nie ma możliwości przypilnować żeby procesor się do niej stosował i w związku z tym za takie zaniechanie procesora nie odpowiada. Czyli mówiąc generalnie ado ma obowiązek zbadać czy procesor ma dokumentację dla powierzonego procesu, w tym analizę ryzyka, która staje się składnikiem jego własnej analizy ryzyka, ale nie ma możliwości i obowiązku pilnować (nadzorować) czy procesor do tej dokumentacji się stosuje, a skoro nie ma możliwości i obowiązku, to nie ma też odpowiedzialności w tym zakresie.

Można jeszcze wskazać że art. 28 rodo, który reguluje kwestię powierzenia, nie zawiera przepisu takiego jak art. 31 ust. 4 starej uodo, który mówił że za sytuacje opisane w ust. 1-3 odpowiada administrator, gdzie w ust. 3 mowa była o tym, że proc ma zapewnić środki bezpieczeństwa:

Art.  31.  [Powierzenie przetwarzania danych innemu podmiotowi]

1.  Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.

2.  Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.

2a.  Nie wymaga zawarcia umowy między administratorem a podmiotem, o którym mowa w ust. 1, powierzenie przetwarzania danych, w tym przekazywanie danych, jeżeli ma miejsce między podmiotami, o których mowa w art. 3 ust. 1.

3.  Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.

4.  W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

Choć i na starym stanie prawnym wywodzenie odpowiedzialności absolutnej ado za nadzór, jak ubezpieczyciel, było moim zdaniem błędne. Ado odpowiadał za sprawdzenie czy proc zabezpieczył zbiór. Ale na starym stanie można było na błędną interpretację przymknąć oko, bo nie było kar pieniężnych (ewentualnie grzywna za niewykonanie decyzji nakazującej przywrócenie zgodnego z prawem przetwarzania). Dzisiaj są kary pieniężne, ale odpowiedzialność administracyjna jest ukształtowana na zasadzie winy o czym świadczą dyrektywy wymiaru kary z art. 83 rodo, które są zbliżone do tych z art. 53 i 115 par. 2 k.k. A nie można ponieść winy w nadzorze, skoro sam nadzór nie jest możliwy ani wymagany (przy prawidłowej interpretacji przepisów).

Na koniec można zadać pytanie retoryczne. Jeśli faktycznie ado ma obowiązek stałego nadzoru nad procesorem, to po co ustanawiać obowiązek uprzedniego sprawdzenia. Obowiązek nadzoru z powodzeniem zastąpiłby obowiązek sprawdzenia ponieważ jest czymś znacznie więcej. Tych których ado ma możliwość nadzorować (zatrudnionych również niepracowniczo) nie ma obowiązku audytować tylko szkolić.

Zaproponowana interpretacja jest moim zdaniem nie do utrzymania, oznaczałaby, że jednoosobowy przedsiębiorca np. architekt odpowiada za błędy firmy informatycznej, których nie ma kompetencji nawet ocenić czy wyłapać, bez zaangażowania kolejnego informatyka do nadzoru nad poprzednim. Słusznie twierdzi UODO (co potwierdza NSA w wyr. dot. Morele), że art. 32 rodo nie nakłada obowiązku wdrożenia skutecznych zabezpieczeń, tylko odpowiednich do ryzyka – bo obowiązek zapewnienia skutecznych byłby niemożliwy do spełnienia, a ponadto odpowiedzialność absolutna za skutek, jest nie do pogodzenia z zas winy z art. 83 rodo. Podobnie należy patrzeć na kwestię powierzenia: ado ma obowiązek dokonać odpowiedniej weryfikacji procesora, a nie skutecznego nadzoru nad wykonywaniem przez procesora jego własnych procedur – ponieważ taki obowiązek byłby niemożliwy do spełnienia. Aby wyeliminować niepewność prawną należałoby tylko przesądzić w orzecznictwie, czy wystarczający jest audyt zdalny przez tzw. Ankietę weryfikacyjną, czy administratora zwalnia dopiero audyt fizyczny. Osobiście opowiadam się za zdalnym, który przyjął się w praktyce, i o którym mówi sam UODO w tej decyzji, kiedy wspomina o wymianie odpowiedniej dokumentacji.

Przepisy

Artykuł 24 Obowiązki administratora

1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

3. Stosowanie zatwierdzonych kodeksów postępowania, o których mowa wart. 40, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa wart. 42, może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków.

Artykuł 25 Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych

1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania –wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

2. Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.

3. Wywiązywanie się z obowiązków, o których mowa w ust. 1 i 2 niniejszego artykułu, można wykazać między innymi poprzez wprowadzenie zatwierdzonego mechanizmu certyfikacji określonego w art. 42.

Artykuł 32 Bezpieczeństwo przetwarzania

1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

a) pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

3. Wywiązywanie się z obowiązków, o których mowa w ust. 1 niniejszego artykułu, można wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42.

4. Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

Artykuł 28 Podmiot przetwarzający

1. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

(…)

3. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:

(…)

c) podejmuje wszelkie środki wymagane na mocy art. 32;