Odpowiedzialność za zgodność przetwarzania danych z RODO nie spoczywa wyłącznie na jednej stronie relacji powierzenia. W praktyce zarówno administrator, jak i podmiot przetwarzający mają własne, odrębne obowiązki, a ich zakres nie kończy się na podpisaniu umowy i formalnym podziale ról. Gdy dochodzi do naruszenia ochrony danych osobowych, organ nadzorczy analizuje nie tylko sam incydent, ale również to, czy administrator prawidłowo wybrał procesora, sprawował nad nim nadzór i wdrożył odpowiednie mechanizmy kontroli, a także czy podmiot przetwarzający faktycznie zapewnił wymagany poziom bezpieczeństwa.
Spis treści
Fortum i PIKA w sporze o odpowiedzialność za naruszenie danych osobowych
Sprawa Fortum Marketing and Sales Polska S.A. oraz PIKA Sp. z o.o. bardzo wyraźnie pokazuje, że w realiach RODO odpowiedzialność za bezpieczeństwo danych nie kończy się na podpisaniu umowy powierzenia. Z oficjalnego komunikatu UODO wynika, że Naczelny Sąd Administracyjny uwzględnił skargę kasacyjną Prezesa UODO, uchylił wcześniejszy wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie i przekazał sprawę do ponownego rozpoznania. Oznacza to, że sprawa nie została jeszcze definitywnie zakończona prawomocnym rozstrzygnięciem po ponownym rozpoznaniu przez WSA, ale NSA zakwestionował ocenę sądu wojewódzkiego i uznał, że organ nadzorczy wystarczająco wyjaśnił stan faktyczny oraz prawidłowo ocenił materiał dowodowy.
Jak doszło do naruszenia ochrony danych osobowych?
Stan faktyczny sięga kwietnia 2020 r. Fortum zgłosiło naruszenie ochrony danych osobowych związane ze zmianami w środowisku teleinformatycznym pełniącym funkcję cyfrowego archiwum. Podmiot przetwarzający, czyli spółka PIKA, w odpowiedzi na problemy z wydajnością systemu utworzył dodatkową bazę danych i zasilił ją danymi klientów Fortum. Baza została następnie udostępniona w sposób nieprawidłowy, co umożliwiło osobom nieuprawnionym dostęp do danych i ich skopiowanie.
W decyzji Prezesa UODO wskazano, że ujawniony zakres obejmował m.in. imiona i nazwiska, adresy, numery PESEL, dane dokumentów tożsamości, dane kontaktowe oraz informacje dotyczące umów. W toku sprawy ustalono, że incydent objął dane osobowe ponad 95 tysięcy osób. Na początkowym etapie administrator ocenił, że zdarzenie nie powoduje wysokiego ryzyka dla praw i wolności osób, których dane dotyczą, dlatego nie skierował do nich zawiadomień o naruszeniu. Zmiana nastąpiła dopiero po działaniach podjętych przez Prezesa UODO – wówczas osoby objęte incydentem zostały poinformowane.
Na czym polega odpowiedzialność administratora i podmiotu przetwarzającego w świetle RODO?
Administrator i podmiot przetwarzający mają różne role, ale ich odpowiedzialność za zgodność przetwarzania z RODO jest współistniejąca. W ocenie Prezesa UODO administrator nie może ograniczyć się do założenia, że skoro korzysta z usług profesjonalnego dostawcy, to ryzyko zostało całkowicie przeniesione na zewnątrz. Z kolei podmiot przetwarzający nie może zasłaniać się tym, że działa wyłącznie na rzecz administratora.
Jeżeli procesor uczestniczy w operacjach przetwarzania, musi samodzielnie stosować odpowiednie środki techniczne i organizacyjne oraz wykonywać obowiązki wynikające z art. 28 i 32 RODO. Tę logikę potwierdza zarówno decyzja Prezesa UODO, jak i późniejsza ocena NSA, który zaakcentował znaczenie nadzoru administratora nad czynnościami podejmowanymi przez podmiot przetwarzający.
Jakie obowiązki wynikające z RODO naruszył administrator danych?
Po stronie administratora chodzi przede wszystkim o art. 28 ust. 1 RODO. Prezes UODO wskazał, że Fortum przed zawarciem umowy powierzenia nie przeprowadziło weryfikacji, czy PIKA zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Fortum tłumaczyło to długoletnią współpracą, brakiem wcześniejszych incydentów i wysoką oceną usługodawcy, jednak organ uznał, że to nie wystarcza. Samo podpisanie umowy powierzenia bez dokonania odpowiedniej oceny podmiotu przetwarzającego nie może być uznane za wykonanie obowiązku z art. 28 ust. 1 RODO. Organ ustalił również, że przed wszczęciem postępowania administrator nie korzystał z prawa kontroli przewidzianego w art. 28 ust. 3 lit. h RODO.
Nadzór nad procesorem jako obowiązek administratora
Administrator odpowiada nie tylko za własne systemy, lecz także za wybór procesora i model nadzoru nad jego działaniami. Jeżeli korzysta z outsourcingu archiwum, hostingu, systemu CRM, call center albo dostawcy rozwiązań IT, nie wystarczy wpisać do umowy kilku standardowych klauzul. W świetle tej sprawy administrator powinien umieć wykazać, że przed powierzeniem sprawdził gwarancje bezpieczeństwa, a następnie utrzymywał nadzór nad zmianami wpływającymi na proces przetwarzania.
Jakie uchybienia stwierdzono po stronie podmiotu przetwarzającego?
Po stronie podmiotu przetwarzającego odpowiedzialność została powiązana przede wszystkim z art. 32 ust. 1 i 2 RODO oraz z obowiązkami wynikającymi z art. 28 ust. 3 lit. c) i f) RODO. Prezes UODO ustalił, że PIKA użyła rzeczywistych danych klientów do celów związanych z wdrażaniem zmian w systemie, nie zastosowała pseudonimizacji, nie przetestowała funkcji bezpieczeństwa na etapie prac rozwojowych i nie wykazała, aby konfiguracja zabezpieczeń została prawidłowo zlecona oraz zweryfikowana. Organ podkreślił, że wykorzystanie realnych danych w środowisku testowym wymaga szczególnej ochrony, a jeżeli takie dane są używane, powinny być objęte takim samym reżimem kontroli dostępu jak środowisko produkcyjne.
Środki techniczne i organizacyjne w procesie przetwarzania danych osobowych
Prezes UODO odwołał się do norm ISO/IEC 27001 i 27002 jako punktu odniesienia przy ocenie adekwatności środków bezpieczeństwa. W decyzji wskazano, że dobre praktyki wynikające z tych norm zalecają unikanie używania danych identyfikujących osoby jako danych testowych, a jeżeli już są wykorzystywane, powinny być odpowiednio zabezpieczone lub zmodyfikowane.
Sankcje nałożone przez UODO i stanowisko sądów administracyjnych
W konsekwencji Prezes UODO nałożył na Fortum karę w wysokości blisko 5 mln zł za naruszenie art. 5 ust. 1 lit. f, art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i 2 RODO. Na PIKA nałożono karę 250 tys. zł za naruszenie art. 32 ust. 1 i 2 oraz art. 28 ust. 3 lit. c) i f) RODO.
Istotnym etapem był późniejszy spór sądowy. WSA w Warszawie uchylił decyzję Prezesa UODO, uznając, że organ niewystarczająco wykazał stan faktyczny oraz nie przeprowadził pełnej oceny dowodów. NSA nie podzielił jednak tej oceny.
Według komunikatu UODO NSA uznał, że organ nadzorczy wyjaśnił wszystkie istotne okoliczności, wszechstronnie ocenił materiał dowodowy, a kwestia utraty poufności danych została przez organ ustalona jednoznacznie. Dlatego NSA uchylił wyrok sądu wojewódzkiego i przekazał sprawę do ponownego rozpoznania.
Najważniejsze wnioski dla administratorów i procesorów
Z punktu widzenia praktyki RODO sprawa ta pokazuje jak wygląda model odpowiedzialności za przetwarzanie danych w relacji powierzenia. Administrator odpowiada za wybór procesora, zakres poleceń, kontrolę i nadzór. Podmiot przetwarzający odpowiada natomiast za własny standard bezpieczeństwa, organizację prac, testowanie zmian, zabezpieczenie środowisk oraz wspieranie administratora w realizacji obowiązków wynikających z RODO.
Innymi słowy, gdy dochodzi do naruszenia, organ bada zaniedbania po obu stronach relacji powierzenia. Dlatego stwierdzenie, że za proces przetwarzania danych osobowych odpowiada administrator oraz podmiot przetwarzający, nie jest uproszczeniem, lecz praktycznym wnioskiem z decyzji Prezesa UODO i dalszego biegu sprawy przed sądami administracyjnymi.
