W niniejszym newsletterze chcemy poruszyć kwestię dotyczące następującego tematu: wnioski płynące z ostatnich decyzji PUODO w zakresie ochrony danych osobowych.
W ostatnim czasie Prezes Urzędu Ochrony Danych Osobowych wydał decyzje, w których nałożył na administratorów i w niektórych przypadkach również na podmioty przetwarzające dane osobowe, kary finansowe za naruszenie przepisów RODO i wynikających z nich obowiązków. Z decyzji tych płyną wnioski, że w procesie przetwarzania danych osobowych warto i należy zwrócić uwagę na następujące kwestie, aby nie narazić się na analogiczną odpowiedzialność, jak podmioty ukarane przez PUODO:
- Stosowanie przez administratora danych osobowych i podmioty przetwarzające dane osobowe odpowiednich środków technicznych i organizacyjnych, które zminimalizują ryzyko dla danych osobowych. Ustalenie takich odpowiednich środków ochrony musi zostać poprzedzone przeprowadzeniem odpowiedniej analizy ryzyka. W jednej z ostatnich decyzji PUODO stwierdził również, że obowiązki administratora i podmiotu przetwarzającego nie powinny się kończyć na ww. dwuetapowym procesie, ale podmioty te powinny na bieżąco i regularnie monitorować, audytować i ewentualnie modyfikować/udoskonalać stosowane środki ochrony danych, dostosowując je do aktualnie i na bieżąco diagnozowanych ryzyk, jakie mogą wiązać się z konkretną czynnością przetwarzania danych. Nie wystarczy więc „raz na zawsze” dokonać analizy ryzyka i stworzyć listę stosowanych środków ochrony, ale kwestie te należy na bieżąco monitorować i w razie potrzeby dokonywać stosownych modyfikacji, uzupełnień.
- Konieczność weryfikowania przez administratora danych, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO. Należy więc przed każdym powierzeniem przetwarzania danych osobowych, poprosić potencjalnego przetwarzającego o listę stosowanych środków ochrony danych oraz krytycznie ją zweryfikować i/lub poprosić potencjalnego przetwarzającego o wypełnienie check-listy przygotowanej przez spółkę – administratora danych osobowych, która weryfikować będzie stosowanie przez niego środków ochrony danych osobowych wymaganych przez administratora.
- Potrzeba regularnych szkoleń z zakresu ochrony danych osobowych dla personelu administratora danych i personelu podmiotu przetwarzającego. W stanie faktycznym jednej z decyzji, administrator danych wskazywał, że przy naruszeniu ochrony danych osobowych zawinił człowiek – „czynnik ludzki”. PUODO stwierdził, że w takiej sytuacji – tzn. gdy administrator wskazuje, że przyczyną naruszenia ochrony danych osobowych był „czynnik ludzki” – to przeprowadzenie przez administratora tylko dwóch szkoleń z zakresu ochrony danych, w tym tylko jednego przed samym zdarzeniem, jest niewystarczające. Jeśli więc administrator lub podmiot przetwarzający uważa, że „czynnik ludzki” stwarza w jego organizacji zagrożenie dla danych albo jeśli w praktyce naruszenia ochrony danych są powodowane takim „czynnikiem ludzkim”, to szkolenia z zakresu ochrony danych osobowych powinny odbywać się z większą częstotliwością i regularnością.
- Podmiot przetwarzający pełniąc swoją rolę, musi w sposób świadomy i odpowiedzialny podchodzić do kwestii ochrony powierzonych danych osobowych, a nie tylko „zasłaniać się” administratorem, czy czekać na jego wskazówki i zalecenia. Podmiot przetwarzający również jest odpowiedzialny za bezpieczne i zgodne z prawem przetwarzanie danych osobowych i również może ponieść konsekwencje niestosowania się do swoich obowiązków. W jednej z ostatnich decyzji, Prezes UODO stwierdził (również) odpowiedzialność podmiotu przetwarzającego, za to, że nie udzielił on administratorowi pomocy w wywiązywaniu się przez niego z obowiązku wdrożenia adekwatnych środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych. W konkretnym stanie faktycznym, na kanwie którego zapadła przedmiotowa decyzja, zdaniem PUODO pomoc ta powinna była polegać na poinformowaniu administratora o braku właściwych zabezpieczeń stosowanych przez administratora w procesach przetwarzania danych osobowych.
W razie potrzeby służymy pomocą.
Zespół Kancelarii Kulczycki, Puławska s. c.