Aktualnie trudno sobie wyobrazić, aby zobowiązania dotyczące często mocno skomplikowanych i zaawansowanych techniczne prac w ramach nowych technologii nie były regulowane umownie. Przedsiębiorcy starają się możliwie kompleksowo uregulować kwestię dotyczące zasad i sposobów współpracy, chociaż ustalenie sposobu zapewnienia bezpieczeństwa przetwarzania danych osobowych sprawia dużo trudności, dlatego postanowienia, które tego dotyczą są często bardzo ograniczone. Ogólne sformułowania w umowie nigdy nie zagwarantują odpowiedniego stopnia bezpieczeństwa i realnej ochrony zlecanych prac dotyczących danych osobowych – co może skutkować powstaniem odpowiedzialności prawnej na gruncie przepisów RODO.
Spółka energetyczna dotknięta najwyższą karą
Problematyka odpowiedniego uszczegółowienia wymogów bezpieczeństwa w umowach z dostawcami systemów jest bardzo aktualna. Przekonała się o tym spółka zajmująca się dostawą ciepła i energii elektrycznej oraz gazu, która zleciła przygotowanie nowych rozwiązań dla kluczowych w kontekście prowadzenia działalności gospodarczej narzędzi informatycznych w najwyższej do tej pory karze[i] nałożonej w dniu 19 stycznia 2022 r. przez PUODO (4.911.732,00 PLN). W wyniku zleconych przez spółkę prac rozwojowych dotyczących repozytorium zawierającego bazę danych klientów dochodziło do powierzenia przetwarzania danych osobowych. Tym samym firma serwisowa była podmiotem przetwarzającym te dane. W trakcie realizacji prac i zwiększania wydajności repozytorium poprzez nieprawidłową konfigurację środowiska testowego bazy danych doszło do naruszenia poufności danych osobowych, dane osobowe klientów spółki zostały udostępnione podmiotom nieuprawnionym (wyciek danych 97.711 osób, klientów biznesowych w zakresie nr PESEL, nr dowodu osobistego, imienia i nazwiska, adresu zamieszkania, nr licznika, daty i numeru zawartej umowy, rodzaju stosowanego paliwa).
Brak odpowiedniej ochrony danych cyfrowych
PUODO zarzucił spółce zlecającej prace brak wdrożenia zabezpieczeń, w tym odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych. Dodatkowo PUODO zarzucił brak należytej weryfikacji podmiotu przetwarzającego w kontekście zagwarantowania wdrożenia odpowiednich środków technicznych i organizacyjnych dla spełnienia wymagań RODO. Zdaniem organu zabrakło odpowiedniego dostosowania środowiska informatycznego bazy danych, obudowania konfiguracji systemów odpowiednią dokumentacją zawierającą procedury wykonywania prac oraz zweryfikowania, czy osoby wykonujące prace po stronie kontrahenta posiadaj kompetencję umożliwiające należyte wykonanie prac. Na wysokość kary wpłynął także brak powiadomienia osób, których dane dotyczyły o naruszeniu – spółka błędnie uznała, że nie było ryzyka naruszenia praw lub wolności osób, których dane zostały naruszone. Może to budzić wątpliwość kiedy spojrzymy jakie dane wypłynęły (np. były wystarczające do dokonania kradzieży tożsamości klientów spółki).
Działanie schematami nie zdaje egzaminu
Decyzja PUODO obrazuje problem w kontekście zawieranych przez przedsiębiorców umów, a dokładniej treści postanowień jakie trafiają do finalnych wersji umów. Umowy zawierane są często na wzorach, które nie oddają faktycznego przedmiotu umowy, nie odnoszą się w sposób prawidłowy do kwestii przetwarzania danych osobowych, zawierają postanowienia, które nie zostały w żaden sposób odniesione do faktycznych procesów i operacji przetwarzania danych osobowych. Zawierają informacje dotyczące zabezpieczeń, które nie są weryfikowane przez osoby zajmujące stanowiska informatyczne, ostatecznie komplikując wykładnie umów bądź też uniemożliwiając praktyczne realizowanie umowy. Źródłem problemu może być podejście oparte na przekonaniu, że kontrola, czy naruszenie nie wystąpi w „naszej firmie” albo „będziemy się martwić post factum” – nie, jak się okazuje wysokość nałożonej kary może przesądzić nawet o zakończeniu prowadzenia działalności gospodarczej. Pytanie, czy nie warto zainwestować w fachowe ułożenie procesu przetwarzania danych osobowych, nie tylko w sposób zapewniający rozliczalność z przepisami RODO, ale także pozwalające na praktyczne realizowanie bieżących zobowiązań biznesowych.
Jak przygotować organizację i wykorzystywaną infrastrukturę informatyczną
Kluczem do zgodności firmy z przepisami RODO jest kompleksowe zmapowanie czynności przetwarzania danych osobowych i stosowanych sposobów ich przetwarzania. Główny problem pojawia się podczas przetwarzania danych osobowych przy wykorzystaniu nowych technologii. Systemy informatyczne (IT) , systemy przemysłowe (OT), aplikacje i inne rozwiązania informatyczne mają tę cechę wspólną, że za ich pośrednictwem może dochodzić do przetwarzania danych osobowych (w tym nieoczywistych danych takich jak np. numer IP urządzenia, rodzaj wykorzystywanej przeglądarki, czy numer umowy zawartej z klientem), a dane w nich przetwarzane są szczególnie narażone na ataki, wycieki, nieuprawniony dostęp i błędy ludzkie. Przejście procesu zmapowania czynności i operacji przetwarzania danych osobowych w systemach wymaga również interakcji z osobami technicznymi, które powinny mieć możliwość indywidualnej oceny poziomu wdrożonych środków organizacyjnych i technicznych w ramach poszczególnych systemów w celu wybrania rozwiązań wystarczających dla zabezpieczenia przetwarzanych w nich danych. Chodzi przede wszystkim o ścieżkę, która pozwoli realnie ocenić, czy wdrożone rozwiązania w systemach spełniają oczekiwania dotyczące bezpieczeństwa oraz, czy wewnętrzne procedury stanowiące o zadach pracy w systemach zostały sformułowane w sposób jasny i uporządkowany, pozwalający na ich późniejsze stosowanie. Brak tego typu interakcji lub brak wypracowania wspólnego języka pomiędzy osobami technicznymi i prawnikami (formułującymi finalne postanowienia umów, czy wspierającymi przedsiębiorców przy układaniu procesów przetwarzania danych osobowych) może skutkować zawieraniem umów posiadających niezweryfikowane i niekompatybilne postanowienia w zakresie bezpieczeństwa i środków technicznych i organizacyjnych mających zapewnić zgodność z prawem przetwarzania danych osobowych w systemach, co może prowadzić do powstania naruszeń i nałożenia wysokich kar. Ułożenie warunków współpracy z firmami zewnętrznymi podejmującymi się prac w ramach systemów powinno kłaść szczególny nacisk na wypracowanie języka zapewaniającego zapewni komunikację pozwalającą na każdorazowe zweryfikowanie zakresu, sposobu i bezpieczeństwa przetwarzania danych w kontekście zlecanych usług w systemach.
Przedsiębiorcy chcąc posiadać rozwiązania techniczne i organizacyjne (tj. środki zabezpieczenia systemów i dokumentację regulującą zasady i sposób postępowania z danymi) zapewniające bezpieczeństwa przetwarzania danych osobowych oparte na systemie bezpieczeństwa informacji (tj. całościowym oparciu firmy na zasadach mających na celu zapewnienie bezpieczeństwa danych), czy systemie ciągłości działania (z ang. business continuity, innymi słowy systemie mającym na celu zapewnienie realizacji najważniejszych procesów firmy) mogą wzorować się na standardach zawartych w normach z grupy ISO (ISO 27001, ISO 27002, ISO 22301). Dokumentacja bezpieczeństwa firmy powinna być sformułowana w sposób możliwie szczegółowy i praktyczny tj. pozwalający na łatwe stosowanie postanowień przez osoby operacyjnie wykonujące prace w systemach i oddający faktycznie przyjęte rozwiązania techniczne. Formułowane procedury powinny regulować kwestie konfiguracji środowiska testowego, środowiska rozwojowego systemów, zasady przeprowadzania testów, zasady dokonywania zmian w systemach, zasady przekazywania oraz odbioru prac realizowanych w ramach systemów. Organizacja powinna wypracować jednolite standardy dotyczące nawiązywania relacji z firmami świadczącymi usługi informatyczne, które dla swojej skuteczności powinny być stosowane przy nawiązywaniu każdej relacji.
Na co zwracać uwagę w zawieranych umowach na usługi informatyczne
Przedsiębiorcy zawierający umowy z firmami serwisowymi powinni w odpowiedni sposób weryfikować usługobiorcę. Weryfikacja powinna obejmować posiadane kompetencje oraz środki techniczne i organizacyjne umożliwiające prawidłową realizację przedmiotu umowy (można wymagać przedstawienia przez usługobiorcę m.in. dokumentacji potwierdzającej kompetencje osób, którymi posługuje się usługobiorca przy realizacji umowy). Jeżeli współpraca wiąże się z koniecznością zawarcia umowy powierzenia przetwarzania danych osobowych, należy zweryfikować stosowane przez usługobiorcę środki bezpieczeństwa przetwarzania danych osobowych, w szczególności stosowane środki i rozwiązania informatyczne. Prace wdrożeniowe i serwisowe mogą rozciągać się w czasie, dlatego umowy powinny zawierać uprawnienia do przeprowadzenia przeglądów bezpieczeństwa przetwarzania danych w systemach, audytów i inspekcji przetwarzania danych oraz regularnego testowania skuteczności bezpieczeństwa wdrożonych środków organizacyjnych i technicznych.
Odpowiedzialność za zapewnienie zgodności przetwarzania z prawem
Korzystanie przez administratora z usług podmiotu zewnętrznego nie zwalnia go z odpowiedzialności za zapewnienie zgodności przetwarzania danych z prawem. Nałożona przez PUODO kara wyznacza nowy trend w kontekście rozdzielenia odpowiedzialności za naruszenia RODO. Pomimo nałożenia tak wysokiej kary na administratora, PUODO nałożył również karę (w wysokości 250.000,00 PLN) na firmę serwisową, która przyczyniła się do powstania naruszenia ochrony danych osobowych. Kaskadowy sposób rozdzielenia odpowiedzialności i kary na wszystkie podmioty biorące udział w procesie przetwarzania danych osobowych (tj. zarówno na administratora będącego podmiotem odpowiedzialnym za zapewnienie rozliczalności z przepisami RODO jak i podmiot przetwarzający biorący udział w przetwarzaniu danych) wskazuje jak rygorystycznie UODO podchodzi do kwestii bezpieczeństwa przetwarzania danych osobowych w systemach i środowisku informatycznym. Nałożenie kary równolegle na dwa podmioty biorące udział w procesie przetwarzania danych osobowych celuje bezpośrednio w zapewnienie i regularną weryfikację bezpieczeństwa przetwarzania danych osobowych po dwóch stronach łańcucha przetwarzania.
Profesjonalne wsparcie w utrzymaniu bezpieczeństwa danych
Przyjęta przez Urząd linia interpretacyjna powinna skłonić do refleksji, a przede wszystkim działania struktury zarządcze przedsiębiorstw, które nie przykładają jeszcze większej wagi do zapewnienia bezpieczeństwa przetwarzania danych w systemach informatycznych. Skorzystanie z wsparcia specjalistów zajmujących się na co dzień układaniem procesów przetwarzania danych osobowych w systemach informatycznych, formułowaniem rekomendacji w zakresie wdrażania rozwiązań oraz środków organizacyjnych i technicznych mających na celu zapewnienie zgodności przetwarzania z prawem, znających język pozwalający na komunikację z osobami zajmującymi stanowiska techniczne i informatyczne w przedsiębiorstwie pozwalającą wypracować rozwiązania prawne adekwatne i korespondujące z warstwą techniczną może stanowić nie tylko wartość dodaną w sensie organizacyjno-prawny, ale także zwiększyć standardy przetwarzania danych w organizacji, poprawić świadomość organizacji oraz wzmocnić i ustrukturyzować gotowość na pozyskiwanie nowych kontraktów na rynku.