Coraz częściej, ku naszemu zadowoleniu, administratorzy danych zwracają uwagę na zawarte umowy powierzenia przetwarzania danych osobowych w czasie, gdy zdecydowana większość podmiotów gospodarczych rozpoczęła pracę zdalną, w tym podmiotów przetwarzających dane osobowe.
Czy administrator powinien zweryfikować dostawcę swoich usług, któremu powierzył dane osobowe?
Zdecydowanie tak! Rozpoczęcie przetwarzania danych osobowych (niezależnie, czy przez administratora danych, czy przez podmiot przetwarzający) w systemie pracy zdalnej nie zwalnia z obowiązku ochrony tych danych, wręcz przeciwnie, nakłada dodatkowe czynności. Jakie?
Konieczna jest ponowna analiza ryzyka danych (określenie jego ponownego poziomu w związku z pracą zdalną wykonywaną przez pracowników i współpracowników), analiza przyjętego modelu ciągłości działania, wdrożenia dodatkowych procedur, weryfikacji nadanych upoważnień do przetwarzania danych osobowych, a w określonych sytuacjach przeprowadzenie oceny skutków przetwarzania. Warto pomyśleć o szkoleniu okresowym zakresu RODO w szczególności zwracając uwagę na kwestię incydentów bezpieczeństwa danych i ich zgłaszania. Każdy administrator danych i podmiot przetwarzający winien zabezpieczyć nie tylko dane przetwarzane w systemach teleinformatycznych, lecz także w zbiorach papierowych, o ile pracownicy wykorzystują te zbiory wykonując pracę zdalną.
To nie wszystko! Miejmy na uwadze bezpieczeństwo powierzonych danych osobowych!
Administrator danych w dalszym ciągu odpowiedzialny jest za powierzone dane osobowe. Zgodnie z motywem 81 RODO: Aby zapewnić przestrzeganie wymogów niniejszego rozporządzenia w przypadku przetwarzania, którego w imieniu administratora ma dokonać podmiot przetwarzający, administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom niniejszego rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania, zaś na podstawie ust. 1 art. 28 RODO: Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Dodatkowo podmiot przetwarzający na mocy art. 28 ust. 3 lit. f) i h) podmiot przetwarzający zobowiązany jest do udzielania informacji, m.in. odnośnie wdrożonych zabezpieczeń, a administrator zaś ma możliwość dokonywania sprawdzeń/auditów podmiotu przetwarzającego. Zawsze należy mieć na uwadze motyw 83 RODO: W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporządzeniem administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko. Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.
Dobrze, ale jak się za to zabrać w czasie epidemii?
Z oczywistych powodów w czasie epidemii administrator nie przeprowadzi fizycznego auditu podmiotu przetwarzającego. Może zatem posłużyć się listą pytań skierowanych do niego, pytając m.in. o:
- Aktualne upoważnienia do przetwarzania danych osobowych
- Czy pracownicy podmiotu przetwarzającego wykonują pracę zdalną na powierzonych przez administratora danych? Jeżeli tak, to czy wykorzystują w tym celu własną infrastrukturę IT (co znacznie podnosi poziom ryzyka, skutecznie obniżając bezpieczeństwo powierzonego procesu
- Czy zaktualizowano poziom ryzyka?
- W przypadku danych osobowych przetwarzanych w zbiorach papierowych, czy podmiot przetwarzający wdrożył procedurę inwentury pobranych dokumentów?
- Jakie wdrożono zabezpieczenia (szyfrowanie, hasłowanie, itp.). Warto dodać, iż w tym szczególnym okresie część podmiotów zdecydowała się na wykorzystywanie komunikacji (w tym przesyłanie danych osobowych, także tych powierzonych) za pośrednictwem komunikatorów, które nie koniecznie mogą spełniać wymagania RODO (możemy mieć sytuację transgranicznego przetwarzania danych osobowych, co pociąga za sobą dalej idące obowiązki)
- Czy przeprowadzono szkolenia okresowe z zakresu bezpieczeństwa i co ważne reagowania na incydenty?
- Jakie zastosowano rozwiązania dotyczące kopii danych i ich retencji, w szczególności, gdy dane są zapisywane w roboczych folderach
- Czy w wyniku (jeżeli dotyczy) znacznego ryzyka przeprowadzono ocenę skutków przetwarzania danych osobowych?
- Czy zaktualizowano rejestr kategorii czynności?
- Czy na skutek obecnych okoliczności nie doszło do dalszego podpowierzenia przetwarzania danych osobowych bez wiedzy (zgody) administratora?
- Jakie nośniki danych osobowych są dodatkowo wykorzystywane i jak są zabezpieczane?
- Czy zdolność podmiotu przetwarzającego do realizacji praw osób fizycznych, których powierzone dane dotyczą nie została zakłócona?
- Inne, w zależności od powierzonego procesu
O czym należy dodatkowo pamiętać?
Każdy administrator danych musi mieć świadomość, iż w dalszym ciągu odpowiada za dane osobowe, niezależnie, czy są one przetwarzane przez niego samego, czy przez podmiot przetwarzający. Postepowanie w kwestii odpowiedzialności administratora obrazuje decyzja Prezesa Urzędu Ochrony Danych Osobowych nakładająca karę w wysokości 40 000 PLN (Więcej na ten temat: https://uodo.gov.pl/decyzje/ZSPU.421.3.2019_ ). Pamiętajmy również, iż zgodnie z art. 104 Ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych: „Środki z administracyjnej kary pieniężnej stanowią dochód budżetu państwa”.