Jak przestrzegać RODO przy wyborze firmy IT? Jak uniknąć zaniechań, które mogą skutkować karami ze strony Prezesa Urzędu Ochrony Danych Osobowych? Pomocny będzie innowacyjny serwis Judykatura.pl – miejsce, które łączy kilkanaście źródeł orzecznictwa w zakresie ochrony danych osobowych.
Autorem artykułu jest Piotr Liwszic – prawnik, audytor wiodący normy ISO/IEC 27001, autor serwisu Judykatura.pl
Judykatura.pl, partner platformy LEX Hub, pozwala użytkownikowi na zachowanie zgodności z przepisami o ochronie danych osobowych. Jest to jedno miejsce, które łączy kilkanaście źródeł orzecznictwa dzięki zastosowaniu najnowszych rozwiązań technologicznych. Jako osoba odpowiedzialna za RODO w swojej organizacji, dzięki Judykaturze.pl możesz błyskawicznie reagować na wszystkie najważniejsze zmiany legislacyjne.
Mając subskrypcję serwisu, nie poświęcasz swojego czasu na monitorowanie kilkunastu źródeł orzeczeń czy decyzji administracyjnych, bo system robi to za Ciebie. Judykatura.pl to także platforma wiedzy, która powstała dla Inspektorów Ochrony Danych oraz specjalistów odpowiedzialnych za przestrzeganie prawa ochrony danych osobowych.
„Wyciek” danych 100 tys. klientów
Pod koniec stycznia 2022 r. Prezes Urzędu Ochrony Danych Osobowych wydał istotną decyzję dotyczącą obowiązków administratora danych osobowych w kontekście wyboru podmiotu, któremu zleca działania na danych osobowych. Zgodnie z przepisami RODO administrator danych może powierzyć takie działania jedynie podmiotom, które gwarantują wdrożenie działania z danymi osobowymi, które gwarantuje zgodność z RODO.
W przedmiotowej sprawie tak się nie stało. Administrator danych na etapie wyboru podmiotu przetwarzającego kierował się jego renomą oraz dotychczasową długoletnią współpracą. Nie doszło do przekazania temu podmiotowi nawet ankiety zawierającej podstawowe pytania i zbadania, czy oświadczenia w tym zakresie polegają na prawdzie i istnieją inne dowody je potwierdzające. Ukarany administrator nie skorzystał także ze swojego uprawnienia kontrolnego ani przed naruszeniem ochrony danych osobowych, ani po naruszeniu danych, a więc po udostępnieniu w sieci danych 100 tys. klientów.
Prawie 5 mln zł kary
Takie działanie albo brak działania ze strony administratora danych zostało „wycenione” przez organ nadzorczy na ponad 4,9 mln zł, a więc największą dotychczas nałożoną przez ten organ administracyjną karą pieniężną. Na wysokość kary miało także wpływu to, że administrator danych wielokrotnie otrzymał od Prezesa UODO upomnienia za wcześniejsze naruszenia przepisów RODO.
Do samego naruszenia ochrony danych osobowych doszło przez błąd jednego z pracowników podmiotu przetwarzającego. Pracownik ten zajmował się konfiguracją nowego serwera i nie zastosował odpowiednich, bezpiecznych środków komunikacji między różnimy serwerami działającymi w środowisku administratora danych. Doprowadziło to do upublicznienia w internecie niezaszyfrowanych danych osobowych klientów administratora.
Działaniem administratora niezgodnym z normami wskazanymi w RODO był brak realizacji swoich obowiązków w zakresie nadzoru nad podmiotem przetwarzającym w trakcie realizacji zmian w systemie informatycznym. Takie zaniechanie, po stronie administratora danych, doprowadziło do swobody w działaniu podmiotu przetwarzającego. Samodzielność firmy informatycznej polegająca na wdrożeniu zmian w systemie informatycznym spowodowała odpowiedzialność administratora danych. Dokonane zmiany informatyczne bez uprzedniego odpowiedniego przetestowania zastosowanych zabezpieczeń oraz zasilenia takiego systemu rzeczywistymi danymi osobowymi klientów nie powinno mieć w ogóle miejsca.
Uchylenie decyzji Prezesa UODO
Podmiot przetwarzający, który również otrzymał administracyjną karę pieniężną, próbował „wytłumaczyć” swoje postępowanie, wskazując, że w trakcie naruszenia ochrony danych osobowych serwer, na którym znajdowały się realne dane klientów administratora danych, był w fazie testów i dalszego zasilania takimi danymi. Według tej relacji z tego właśnie powodu nie mógł posiadać wszystkich niezbędnych zabezpieczeń.
W tym miejscu warto wskazać, że w bazie orzeczeń Judykatura.pl można także odnaleźć inną decyzję Prezesa UODO wskazującą na konieczność analizowania pracy podmiotu przetwarzającego. Chodzi o decyzję z grudnia 2020 r. w sprawie administratora, który zlecił działania podmiotowi przetwarzającemu znajdującemu się poza EOG. Tutaj także jeden pracownik podmiotu przetwarzającego dokonał błędnej konfiguracji serwera, co doprowadziło do ujawnienia bazy danych klientów podmiotu finansowego. W tej sprawie doszło do uchylenia decyzji Prezesa UODO przez Wojewódzki Sąd Administracyjny. Z całym wyrokiem i jego omówieniem można się zapoznać na łamach Judykatura.pl
Baza orzeczeń Judykatura.pl
Wnioski z decyzji administracyjnej nakładającej dotychczas najwyższą karę administracyjną należy podsumować następująco. Po pierwsze, nie można zlecać prac informatycznych bez zweryfikowania wykonawcy, o ile w tych pracach dojdzie do udostępnienia danych osobowych. Po drugie, administrator danych powinien wdrożyć procedury weryfikujące aktualne działanie wybranej firmy. Po trzecie, prace programistyczne, takie jak testowanie wprowadzonych danych, nie powinno odbywać się na systemie produkcyjnym czy na danych osobowych, a jedynie na wygenerowanych danych.
Wiele podobnych spraw można odnaleźć w serwisie Judykatura.pl. Pozwala to osobom odpowiedzialnym za zgodność z RODO poznać najważniejsze zasady postępowania w sprawach, które dotyczą każdej firmy czy organizacji.