7 czerwca odbyło się szkolenie online organizowane przez platformę LEX Hub i jej partnera – serwis Judykatura.pl Podczas webinaru „Za co odpowiada podmiot przetwarzający. Czego uczy dotychczas największa kara Prezesa UODO?” padło wiele pytań, na które odpowiadał Piotr Liwszic, prawnik i autor serwisu Judykatura.pl, zajmujący się ochroną danych osobowych.

Zapraszamy do lektury najciekawszych pytań oraz eksperckich odpowiedzi prelegenta:

  • Numery PESEL członków zarządów są dostępne w KRS’ach i to jest OK?

ODP: W mojej ocenie jest OK. Upublicznienie w ogólnodostępnym Krajowym Rejestrze Sądowym danych osobowych w postaci numeru PESEL podnosi bezpieczeństwo obrotu gospodarczego poprzez umożliwienie dokonania weryfikacji kontrahentów i zmniejszenie prawdopodobieństwa dokonania np. wyłudzenia.  Krajowy Rejestr Sądowy jest jawny na mocy ustawy z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym, a także każdy ma prawo dostępu do danych w nim zawartych. Ustawodawca może powyższe założenia zmienić w każdej chwili i RODO nie będzie stało tutaj na przeszkodzie w dokonaniu takich zmian. Choć warto też wskazać odmienny pogląd niż mój - czytaj>>

  • Czy można skorzystać z doświadczeń w przypadku akredytacji systemów IT do przetwarzania informacji niejawnych? Gdy ABW akredytuje taki system to użytkownik jest zobowiązany do informowania ABW o wszelkich zmianach w systemie mających wpływ na jego bezpieczeństwo i to powinno być w umowie powierzenia?

Na pewno wartościowym doświadczeniem, w szacowaniu ryzyka, jest to zdobyte przy akredytacji systemów IT dokonywanych przez krajowe władze bezpieczeństwa. Akredytacji bezpieczeństwa teleinformatycznego wymaga przygotowania szczególnych wymagań bezpieczeństwa systemu teleinformatycznego i tak jak w RODO dokument ten powinien zawierać dokonaną analizę ryzyk i zagrożeń.

  • Czy normy prawne dotyczące informacji niejawnych mogą stanowić gotowe wzorce do przetwarzania danych osobowych?

Jeśli dobrze rozumiem pytanie to możemy wykorzystać w ochronie danych osobowych pewne procedury mające także swoje odbicie w ochronie informacji niejawnych. Tak jak w obszarze informacji niejawnych funkcjonują poświadczenia bezpieczeństwa osobowego tak w ochronie danych osobowych funkcjonują upoważnienia do przetwarzania danych osobowych. Przy przetwarzaniu informacji niejawnych kierownik jednostki organizacyjnej zobowiązany jest do przestrzegania przepisów ustawy o ochronie informacji niejawnych tak w przypadku ochrony danych ta sama osoba może być odpowiedzialna za utrzymywanie zgodności z przepisami RODO.

  • W oparciu o wnioski czy jest konieczność wdrażania ISO 27000?

Przydatnym do osiągnięcia zgodności przetwarzania danych z wymaganiami RODO może być wdrożenie norm IOS z rodziny ISO 27000 np. normy ISO 27001 dotyczącej budowy i funkcjonowania systemu zarządzania bezpieczeństwa czy też normy ISO 27002, która wskazuje środki kontroli bezpieczeństwa informacji. W omawianej decyzji Prezesa UODO, a dotyczącej, obecnie największej kary pieniężnej, organ ten wskazał, że „nie ulega wątpliwości, że aktualne standardy bezpieczeństwa wyznaczają m.in. normy ISO”. Nie jest to jedyna decyzja administracyjna wskazująca na to, że wdrożenie norm ISO uznawane jest za pożądane – można tutaj wskazać wyrok WSA w sprawie oddalenia skargi w sprawie naruszenie ochrony danych Morele.net czy inny, które znajdują się w serwisie Judykatura.pl.

  • Czy jeżeli w procedurze w zakresie weryfikacji podmiotu przetwarzającego zostanie napisane, że to osoba w danej organizacji odpowiada ze weryfikowanie co np. 2 lata, to czy wówczas można już zostawić taki obowiązek tej osobie? Czy IOD ma prawo przypominać o tym obowiązku? A jeżeli nie będzie przypominał, to czy może ponieść odpowiedzialność za niespełnianie swoich zadań, funkcji?

Uważam za dobrą praktykę przypisywania wykwalikowanym pracownikom zadania dokonywania weryfikacji czy podmiot przetwarzający przestrzega czy to postanowień umownych czy też samych przepisów RODO. IOD ma prawo wskazywać, że należy dokonać odpowiednich działań, które może wspomóc czy to przekazaniem odpowiednich narzędzi np. ankiety podmiotu przetwarzającego czy też oceny uzyskanych informacji od takiego podmiotu. Wskazane w RODO zadania IOD’a dotyczą m.in. monitorowania przestrzegania przepisów RODO oraz powiązane z tym audyty więc tak – można próbować budować tezę, że brak „przypomnienia” o takich audytach będzie niekorzystnie rzutować na zobowiązania IOD’a.

  • Czy pracując w Poradni Psychologiczno- Pedagogicznej i przechowując dane osobowe dzieci oraz rodziców - czy stażysta może wprowadzać powyższe dane do programu - baza danych?

Tak stażysta może wprowadzać dane do programu, o ile dysponuje upoważnieniem do przetwarzania danych, o którym mowa w art. 29 RODO tak jak każdy inny pracownik. W przypadku stażysty, z którym nie zawarto umowy o pracę, a inną umowę, warto w jej treści wskazać postanowienia dotyczące obowiązku zachowania danych osobowych w tajemnicy oraz konsekwencję naruszenia przyjętego na siebie zobowiązania.

Jeśli jednak stażysta posiada umowę o prace i wprowadzać będzie dane osobowe dzieci, rodziców czy pracowników, a dotyczące danych szczególnej kategorii np. dotyczących zdrowia 

  • Na ile istotne jest uregulowanie odpowiedzialności procesora w umowie powierzenia? i jak to zrobić?

Zapewne jest to istotna kwestia, ale warto też pamiętać, że za działania podmiotu przetwarzającego odpowiedzialność z RODO przypisana jest do administratora danych. Tylko w przypadku, w którym podmiot przetwarzający naruszy przepisy RODO przy określaniu celów i sposobów przetwarzania powierzonych danych uznaje się go za administratora danych do takiego przetwarzania danych z całym wachlarzem możliwości jego ukarania.

Standardem rynkowym jest sięganie przez administratora po wprowadzanie do takich umów powierzenia postanowień dotyczących kar umownych za działania lub ich brak podmiotu przetwarzającego.

  • Co może grozić pracownikowi, który dokonał błędu w ustawieniach systemowych powodujących naruszenie ochrony danych osobowych

Pracownik podmiotu przetwarzającego może poniesień konsekwencje służbowe, o ile wprowadzenie odpowiednich zabezpieczeń do baz danych było mu jasno zakomunikowane i leżało w jego obowiązkach służbowych. Dobra praktyką jest wprowadzanie procedur kontrolnych służących do 2-3 etapowego zweryfikowania czy dokonano wprowadzenia zabezpieczeń oraz czy te wprowadzone zabezpieczenia są odpowiednie.

  • W jaki inny sposób można testować nowe rozwiązania informatyczne czy ich aktualizację?

W pierwszej kolejności należy wyeliminować możliwość podejmowania jakichkolwiek działań dotyczących rozwoju infrastruktury na obecnie przetwarzanych danych osobowych. W tym celu należy wykorzystać czy to dane sztucznie wygenerowane czy też dane poddane pseudonimizacji. Innym dobrym posunięciem jest testowanie jakikolwiek zmian w systemach w środowisku nieposiadającym dostępu do zewnętrznych sieci, w tym do internetu. Takie odseparowanie środowiska testowego zmniejsza prawdopodobieństwo „wycieku” danych do internetu.

  • Czy orzeczona przez Prezesa UODO kara administracyjna w wysokości prawie 5 mln zł jest według Pana wysoka czy też organ nadzorczy mógł zastosować wyższa karę – jaka kara byłaby maksymalna.

Prezes UODO wskazał, w uzasadnieniu decyzji, że nałożona na administratora administracyjna kara pieniężna w wysokości 4 911 732 zł stanowi 0,18 % obrotu osiągniętego w 2020 r., który wnosił 2 789 815 141 zł. Zgodnie z RODO kara, za wskazane przez organ nadzorczy naruszenia, mogła wynosić maksymalnie 2 % tj. 55 796 302 zł. W mojej ocenie orzeczona kara w wysokości 0,18 % jest prawie ¼ maksymalnej kary, a z perspektywy szerokiego naruszenia danych osobowych mogła być zdecydowanie większa.

Zapraszamy także do obejrzenia nagrania z webinaru:

To jeszcze warto zobaczyć: