Pomiń nawigację

12 lipca 2022

Weryfikacja podmiotu przetwarzającego dane osobowe

Udostępnij

Wielu przedsiębiorców w ramach prowadzonej przez siebie działalności nawiązuje współpracę z dostawcami usług. Większość takich przypadków wiąże się z dostępem wykonawcy do danych osobowych przetwarzanych w imieniu zleceniodawcy, np. w formie ich zbierania, przechowywania, zestawiania, bieżącego wykorzystywania, usuwania, chociażby przy okazji zlecenia obsługi kadrowo-płacowej, księgowej, marketingowej, obsługi klienta czy wsparcia IT. To z kolei niesie ze sobą konieczność spełnienia konkretnego obowiązku, który wynika wprost z art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”). Chodzi o uzgodnienie przetwarzania danych osobowych i jego udokumentowanie na podstawie umowy zawartej pomiędzy zlecającym (administratorem) a wykonawcą (podmiotem przetwarzającym), bądź na podstawie „innego instrumentu prawnego” wiążącego administratora i procesora.

Obowiązek weryfikacji podmiotu przetwarzającego

Czy powinniśmy sprawdzić procesora przed nawiązaniem współpracy? Po co, przecież to profesjonalista, bierze na siebie odpowiedzialność, jak coś się stanie, to będzie za to odpowiadał, nie po to korzystam z outsourcingu, żeby się o to martwić, mają dobre referencje, wykwalifikowany zespół… To tylko niektóre z odpowiedzi, jakie się nasuwają niemalże instynktownie niejednemu przedsiębiorcy. Relacja administrator-procesor nie jest jednak taka prosta i zakres odpowiedzialności administratora nie kończy się tam, gdzie zaczynają się obowiązki podmiotu przetwarzającego.

Aby zadziałać na wyobraźnię, przypomnijmy w tym miejscu 4,9 mln zł administracyjnej kary pieniężnej dla administratora m.in za brak weryfikacji podmiotu przetwarzającego[1] Prezes Urzędu Ochrony Danych Osobowych (UODO) otrzymał zgłoszenie dotyczące naruszenia ochrony danych, które polegało na skopiowaniu danych klientów administratora przez nieuprawnione osoby. Doszło do niego podczas wprowadzania przez dostawcę usługi zmiany w środowisku teleinformatycznym. Podczas wszczętego z urzędu postępowania Prezes UODO wprost zapytał administratora o to, czy przeprowadził przed zawarciem umowy powierzenia postępowanie weryfikacyjne pod kątem spełnienia przez procesora wymogów RODO, a jeśli tak, to kiedy i jakie. W tym przypadku administrator takiej weryfikacji nie przeprowadził, uzasadniając to m.in. wieloletnią współpracą. Prezes UODO nie miał jednak wątpliwości, że brak sprawdzenia podmiotu przetwarzającego przed zawarciem umowy stanowi naruszenie art. 28 RODO:

Samo podpisanie umowy powierzenia […] bez dokonania odpowiedniej oceny podmiotu przetwarzającego nie może być uznane jako realizacja obowiązku przeprowadzenia postępowania weryfikującego podmiot przetwarzający pod kątem spełnienia przez niego wymogów rozporządzenia 2016/679. Z obowiązku przeprowadzenia takiej oceny nie zwalnia również fakt wieloletniej współpracy i korzystania z usług danego podmiotu przetwarzającego przed dniem 25 maja 2018 r. […]. W przedmiotowej sprawie Administrator takiej weryfikacji nie przeprowadził, poprzestał jedynie na pozytywnej ocenie podmiotu przetwarzającego, będącej efektem dotychczasowej współpracy, podczas której, jak wyjaśnił, nie dochodziło do incydentów bezpieczeństwa. Konsekwencją braku dokonania tej oceny jest jednak naruszenie przez […] wymogu określonego w art. 28 ust. 1 rozporządzenia 2016/679”.[2]

Z powyższego jednoznacznie wynika konieczność traktowania weryfikacji podmiotu przetwarzającego (i to uprzedniej, przed podpisaniem umowy powierzenia) jako obowiązku administratora, a brak jego spełnienia będzie naruszeniem art. 28 RODO.

Nie jest to odosobniony przypadek. Na podstawie innej wydanej przez Prezesa UODO decyzji możemy się upewnić, że UODO bardzo interesuje, czy działania weryfikacyjne procesora są prowadzone. W jednej z decyzji organ nadzorczy wprost wezwał administratora do wyjaśnienia, „jakie postępowania weryfikacyjne podmiotu przetwarzającego pod kątem spełnienia przez niego wymogów rozporządzenia 2016/679 przeprowadził administrator przed zawarciem umowy powierzenia przetwarzania danych”[3]. Dlatego administratorzy – nie lekceważcie tego. Możecie się spodziewać, że Wasz obowiązek uprzedniej weryfikacji procesora pod kątem jego zgodności z RODO będzie sprawdzany.

Pod jakim kątem należy zweryfikować podmiot przetwarzający?

Musimy brać pod uwagę sprawdzanie nie tylko środków organizacyjnych (np. kwestii formalnych, proceduralnych), ale też technicznych.  

Uprzednia weryfikacja ma być przeprowadzona przed zawarciem umowy powierzenia. A więc jeszcze w procesie negocjacji z kontrahentem musimy przewidzieć takie sprawdzenie i liczyć się z tym, że od jego wyników może zależeć ostateczne zawarcie umowy o współpracy. I tu uwaga do biznesu – choćby nie wiadomo, jak korzystne warunki współpracy proponował dostawca, brak weryfikacji pod kątem RODO lub jej negatywny wynik powinien stanowić z daleka widoczne czerwone światło.

Trzeba zdecydować o formie i zakresie sprawdzenia. Może to być np. ankieta podzielona na konkretne sekcje, np.:

  • zabezpieczenia proceduralne (pytania o istniejące polityki ochrony danych, ustalone okresy retencji, przeprowadzane analizy ryzyka);
  • zabezpieczenia organizacyjne (pytania o występujące incydenty, wydawane upoważnienia, wyznaczone osoby odpowiedzialne za obszar bezpieczeństwa, szkolenia itp.);
  • zabezpieczenia fizyczne (np. zabezpieczenia serwerowni);
  • zabezpieczenia techniczne (np. przyjęte rozwiązania dotyczące szyfrowania, uwierzytelniania, tworzenia kopii zapasowych, zabezpieczenia urządzeń przenośnych, konserwacji sprzętu, przeprowadzanych testów penetracyjnych).

Dodatkowo warto bardzo dokładnie zbadać kwestie „łańcucha dostaw”, tj. czy inne (i jakie) podmioty trzecie będą tzw. dalszymi podmiotami przetwarzającymi. Nie bez znaczenia pozostaje to, czy w ramach powierzenia dochodzić będzie do przekazywania danych poza Europejski Obszar Gospodarczy (EOG), a jeżeli tak, to w oparciu o jakie gwarancje zabezpieczeń. Weryfikację można oczywiście przeprowadzić również formie klasycznych rozmów czy wywiadów przed podpisaniem umowy.

Nadrzędny cel, jaki powinien przyświecać administratorowi, to czy dane będą rzeczywiście „w dobrych rękach”. Nie chodzi zatem tylko o to, czy dostawca słyszał o RODO, ale czy faktycznie ma  opracowane i wdrożone procedury związane z ochroną danych osobowych, czy zabezpieczenia przyjęte u procesora są adekwatne do aktualnych zagrożeń, zwłaszcza cybernetycznych itd.

Zawarcie umowy z podmiotem przetwarzającym na pewno nie jest pozbyciem się problemu i w żadnym razie nie powinno być tak traktowane. Administrator musi mieć świadomość, że powierza dane rzetelnemu podmiotowi, bo – jak pokazują decyzje UODO – nawet skorzystanie z usług profesjonalisty nie zwalnia administratora z odpowiedzialności za zgodne z RODO przetwarzanie danych.

Umowa powierzenia przetwarzania

RODO nie narzuca, jaki konkretnie format ma przybrać umowa powierzenia. Uzgodnione warunki powierzenia mogą stanowić jeden z paragrafów zawieranej umowy o współpracy, mogą być odrębnym porozumieniem stanowiącym załącznik do umowy, lecz równie dobrze mogą tworzyć zupełnie niezależną umowę. Z punktu widzenia praktycznego zalecam tę ostatnią opcję. W razie zmian czy konieczności aneksowania łatwiej jest pracować na jednym, odrębnym dokumencie. Po drugie, w razie kontroli (czy to wewnętrznej, czy to zewnętrznej), łatwiej przygotować do analizy taki właśnie odrębny dokument niż anonimizować umowy o świadczenie usług, które zawierają szereg informacji będących tajemnicą przedsiębiorstwa i nie każdy powinien mieć do nich dostęp, a tym bardziej nie byłyby one niezbędne do audytu ochrony danych osobowych, np. warunki handlowe, cenniki, itp.

Jakie treści powinna zawierać umowa? Obowiązkowo pamiętajmy o art. 28 ust. 3 RODO, według którego umowa powierzenia określa przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora. Zgodnie z RODO umowa powierzenia w szczególności stanowi, że podmiot przetwarzający:

  • przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora;
  • zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
  • podejmuje wszelkie środki wymagane na mocy art. 32 RODO;
  • przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w art. 28 ust. 2 i 4 RODO;
  • biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO;
  • uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO;
  • po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo lokalne nakazują przechowywanie danych osobowych;
  • udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. W związku z tym obowiązkiem określonym podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych.

Teoretycznie w tych ramach można zamknąć umowę powierzenia. Jak to jednak z umowami bywa, im więcej niewiadomych, tym gorzej. Nie jest bowiem tajemnicą, że umowę pisze się „na gorsze czasy”. Zatem moim zdaniem warto w takim porozumieniu przewidzieć dodatkowo m.in.:

  • w jaki konkretnie sposób ma dojść do zwrotu lub usunięcia danych, czyli czy nie warto umówić się na sporządzenie protokołu zwrotu lub usunięcia?
  • jakie odgórne zasady prowadzenia audytów przewidują strony – czy pod warunkiem uprzedniego powiadomienia o zamiarze audytu, w jakich godzinach, w jakiej formie?
  • czy i ewentualnie na jakich zasadach dopuszczalne jest zaangażowanie dalszych podmiotów przetwarzających?
  • w jaki sposób, w jakim terminie i zakresie procesor ma informować administratora o naruszeniach ochrony danych?
  • w jaki sposób i w jakim terminie procesor ma przekazywać do administratora zgłoszenia od osób, których dane dotyczą?
  • czy może, a jeżeli tak, to na jakich warunkach, dojść do przekazywania danych osobowych do państw nienależących do EOG?
  • czy podmiot przetwarzający będzie zobowiązany do uiszczenia kar umownych w razie naruszenia postanowień umowy powierzenia?

Ostateczna treść umowy powierzenia zawsze jest indywidualna i „uszyta” na miarę potrzeb danego przedsiębiorstwa. Jednak warto zwracać uwagę na takie dodatkowe kwestie umowne, aby jak najpełniej zabezpieczyć własne interesy.

Czym może być inny instrument prawny i czy ma on zastosowanie do przedsiębiorców?

W relacjach między przedsiębiorcami zdecydowanie królują umowy powierzenia. A co możemy powiedzieć o alternatywie do nich, czyli „innym instrumencie prawnym”?  Może nim być m.in., jak wynikało to także z art. 17 dyrektywy 95/46/WE, akt prawny, o ile spełnia wszystkie przesłanki określone w art. 28 ust. 3 oraz 9 rozporządzenia 2016/679. Wydaje się, że spełnia wymogi dla innego instrumentu prawnego także jednostronna czynność prawna, o ile wypełnia przesłanki określone w przepisie art. 28 ust. 3 i 9[4]. Ponadto w praktyce przykładem innego instrumentu prawnego mogą być przepisy przewidujące powierzenie przetwarzania bądź porozumienie zawarte między organami administracji publicznej[5]. Za „inny instrument prawny” możemy uznać uchwały, zarządzenia, czy inne akty organów administracji publicznej. Nie miałyby zatem one zastosowania do sektora prywatnego chyba, że istniałyby przepisy prawa czy akt wydany przez organ administracji publicznej wprost dotyczący przedsiębiorców.

Czasami spotykam w praktyce regulaminy świadczenia usług, które zawierają postanowienia dotyczące powierzenia przetwarzania danych i przez dostawców tych usług określane są jako „inny instrument prawny”. Co do tego mam jednak zastrzeżenia, bo regulamin świadczenia usługi, jednostronnie akceptowany przez jej odbiorcę, to nic innego, jak umowa. Pomiędzy obiema stronami nawiązuje się stosunek zobowiązaniowy, tzn. wzajemne prawa i obowiązki opisane są w regulaminie, druga strona te postanowienia akceptuje. Cechą charakterystyczną regulaminu, odmiennie od typowej umowy,  jest to, że jest on nienegocjowalny, czyli zazwyczaj o jednakowej treści dla każdego odbiorcy usługi. Mamy jednak na to określenie i taka forma nazywana jest „umową adhezyjną”, zawieraną poprzez przystąpienie do niej (bez negocjowania). Ale ciągle jest to umowa, w tym przypadku – umowa powierzenia. Z tego powodu regulamin świadczenia usług według mnie powinien być traktowany po prostu jako umowa powierzenia, a nie „inny instrument prawny”.

W mojej ocenie zastosowanie „innego instrumentu prawnego” w sektorze prywatnym jest więc istotnie ograniczone, a znaczącą rolę odgrywają umowy powierzenia i to one stanowią podstawowe narzędzie dla przedsiębiorców.

Weryfikacja procesora po zawarciu umowy

Weryfikacja procesora poza tym, że ma odbyć się przed podpisaniem umowy powierzenia, musi być powtarzana okresowo, tzn. systematycznie. Skąd wynika taki obowiązek i jak się za to zabrać w praktyce?

  • pamiętajmy, że 28 ust. 3 lit. h RODO mówi o prowadzeniu audytu u procesora. Takie założenie musi być zawarte w umowie powierzenia albo innym instrumencie prawnym. Administratorze – korzystaj z tego. Sprawdzaj, audytuj, przeprowadzaj inspekcje. Regularnie i systematycznie.
  • 24 ust. 1 RODO wymaga od administratora, by wdrażał odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO. Środki te w razie potrzeby powinny być poddawane przeglądom i uaktualniane, co też wskazuje na konieczność wypracowania sobie pewnej systematyki i okresowego działania sprawdzającego.
  • 32 ust. 1 lit. d) RODO podaje, że jednym z wymaganych przez RODO obszarem bezpieczeństwa jest regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

W zależności od możliwości organizacyjnych i finansowych, a także rodzaju świadczonych usług czy dynamiki w danym sektorze, częstotliwość takiej weryfikacji może się różnić. W mojej ocenie rozsądnym jest jednak założenie, że co najmniej raz w roku przeprowadzana jest taka okresowa inspekcja procesora. W grę wchodzi tradycyjny audyt w postaci rozmów, wizji lokalnej itp. bądź weryfikacje całkowicie zdalne, np. pozyskiwanie informacji za pośrednictwem szczegółowych kwestionariuszy. Ważne są na pewno w konkretnym przypadku postanowienia umowy powierzenia, które mogą zawierać szczegółowe uwarunkowania przeprowadzania takich kontroli. Może się zdarzyć, że w umowie przewidziano uprzednie powiadomienie o jej rozpoczęciu (np. na co najmniej 7 dni przed), albo wcześniejsze uzgodnienie jej terminu tak, aby możliwie efektywnie ją przeprowadzić bez zakłóceń spowodowanych np. urlopami w sezonie letnim.

Warto zwrócić uwagę na to, czy od czasu ostatniej kontroli weszły w życie jakiekolwiek zmiany w zabezpieczeniach, lokalizacjach, procedurach, a jeżeli tak, to jakie. Czy rozszerzono wykaz dalszych podmiotów przetwarzających? Czy procesor podąża za najlepszymi praktykami rynkowymi i reaguje na decyzje organów ochrony danych, nie tylko polskiego PUODO, ulepszając swoje zabezpieczenia? Czy sam regularnie i systematycznie weryfikuje wdrożone u siebie zabezpieczenia w celu ich ewentualnej poprawy, o ile to jest konieczne?

Systematyka i rzetelność prowadzonych inspekcji, a przede wszystkim ich udokumentowanie, są kluczowe i na pewno przydadzą się w razie pytań ze strony UODO.

Katarzyna Ułasiuk

członek zarządu w iSecure sp. z o.o. i ekspert ds. ochrony danych osobowych.  iSecure działa na rynku od 2010 r. i specjalizuje się w doradztwie z zakresu ochrony danych osobowych, w tym oursourcingu funkcji IOD, audytach i szkoleniach


[1] Więcej na ten temat

[2] Decyzja Prezesa UODO z dnia 19 stycznia 2022 r., sygn.: DKN.5130.2215.2020, treść dostępna na stronie

[3] Decyzja Prezesa UODO sygn.: DKN.5130.1354.2020, treść dostępna na stronie

[4] K. Witkowska-Nowakowska [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2018, art. 28.

[5] P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 28.

Zobacz więcej podobnych artykułów