Analiza ryzyka w kontekście oceny dostawców - rola Administratora i Podmiotu przetwarzającego
Podstawy prawne analizy ryzyka w RODO
Zgodnie z art. 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) - dalej RODO, Administrator oraz Podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze.
Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, zwłaszcza te wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Innymi słowy, analiza ryzyka powinna - poprzez identyfikację podatności - pomóc w doborze odpowiednich środków technicznych i organizacyjnych w celu zminimalizowania wystąpienia sytuacji zagrażających bezpieczeństwu danych osobowych.
Jednym z aspektów analizy ryzyka jest ocena dostawcy usług w kontekście zapewnienia odpowiedniego stopnia bezpieczeństwa danych przez podmioty, którym Administrator powierzył przetwarzanie danych osobowych. Powierzenie przetwarzania danych podmiotowi, który nie zostanie zweryfikowany lub, który takiej weryfikacji nie przejdzie z wynikiem pozytywnym – stanowi potencjalne ryzyko dla bezpieczeństwa danych osobowych, ponieważ może dojść do naruszenia ich poufności, dostępności lub integralności, co w konsekwencji doprowadzi do naruszenia ochrony danych.
Ocena Podmiotu przetwarzającego
Zasadą, która wynika wprost z treści przepisu art. 28 ust. 1 RODO, jest korzystanie przez Administratora wyłącznie z usług takiego Podmiotu przetwarzającego, który daje odpowiednie gwarancje spełnienia wymogów wynikających z RODO. Rozwinięcie tej zasady możemy znaleźć w treści Motywu 81 preambuły do RODO, gdzie ustawodawca europejski wyjaśnia, że wymóg wystarczających gwarancji wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom RODO, w tym wymogów bezpieczeństwa przetwarzania, odnosi się w szczególności do zapewnienia wiedzy fachowej, wiarygodności i zasobów podmiotu przetwarzającego. Stosowanie przez Podmiot przetwarzający zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji może posłużyć za element wykazujący wywiązywanie się z obowiązków administratora.
Wybór dokonywany przez Administratora powinien być więc uważny i poprzedzony wnikliwą analizą tego, czy Podmiot przetwarzający będzie zapewniał wiedzę fachową i wiarygodność, co obejmuje w szczególności weryfikację posiadanej wiedzy technicznej w zakresie stosowanych środków bezpieczeństwa. Administrator powinien sprawdzić, jakie zasoby są wykorzystywane przez Podmiot przetwarzający do przetwarzania danych osobowych. Dotyczy to zarówno infrastruktury technicznej, jak i zasobów ludzkich.
Poniżej znajdują się przykładowe pytania zawarte w kwestionariuszu dla Procesora.
- Czy wdrożono Politykę ochrony danych osobowych wraz z dodatkowymi dokumentami?
- Czy personel jest zapoznawany z regulacjami wewnętrznymi dotyczącymi ochrony danych osobowych?
- Czy osoby upoważnione do przetwarzania danych osobowych są zobowiązane do zachowania tajemnicy?
- Jakie środki techniczne i organizacyjne są podejmowane dla zapewnienia odpowiedniego stopnia bezpieczeństwa przetwarzania?
- Czy serwery i ich oprogramowanie są regularnie aktualizowane zgodnie z polityką aktualizacji i poprawek bezpieczeństwa?
Współpraca z podmiotami niedającymi odpowiednich gwarancji powinna być wykluczona, gdyż ciężar odpowiedzialności za dokonanie odpowiedniego wyboru spoczywa na Administratorze. Ma to niemałe znaczenie w kontekście chociażby naruszeń ochrony danych osobowych dokonywanych przez Podmioty przetwarzające i odpowiedzialności jaką jednak ponosi Administrator.
Sposoby oceny Podmiotu przetwarzającego
Weryfikacja, czy podmiot przetwarzający spełnia wymogi określone w art. 28 ust. 1 RODO, może w praktyce być realizowana na wiele różnych sposobów, w szczególności poprzez:
- uzyskanie odpowiedzi na kwestionariusz pytań dotyczących stosowania odpowiednich środków technicznych i organizacyjnych zapewniających zgodność działań Podmiotu przetwarzającego z przepisami;
- przeprowadzenie audytu fizycznego w siedzibie Podmiotu przetwarzającego przed zawarciem umowy;
- weryfikację dokumentacji przekazanej przez Podmiot przetwarzający w zakresie wdrożonych zasad, polityk i procedur w organizacji;
- analizę zawartych na stronie internetowej informacji dotyczących stosowanych zabezpieczeń przez Podmiot przetwarzający.
Teoria a praktyka
Jeżeli chodzi o praktyczną stronę weryfikacji Podmiotu przetwarzającego przez Administratora to mimo, że RODO obowiązuje od 2018 roku, to nadal wielu Administratorów odstępuje od jej dokonywania. Wynika to z wielu czynników, tj. braku wystarczającej wiedzy Administratora, decyzji biznesowej, a także celowego zaniechania.
Nierzadko zdarzają się także przypadki, w których przekazane przez Administratora pytania zawarte w kwestionariuszu są niezrozumiałe dla Podmiotu przetwarzającego lub zadane zupełnie nieadekwatnie do usługi która ma być świadczona na rzecz Administratora. W codziennej praktyce zdarzają się sytuacje, w których Podmioty przetwarzające nie potrafią wypełnić tak przekazanego kwestionariusza. Często zwrócenie się do Administratora z prośbą o doprecyzowanie lub podanie szerszego kontekstu – pozostaje bez odpowiedzi.
Z pespektywy Administratora i Podmiotu przetwarzającego istotnym jest, aby obie strony były na tyle zapoznane z przepisami w zakresie ochrony danych osobowych i były na tyle świadome istniejących ryzyk, aby przeprowadzana ocena dostawcy była w najwyższym stopniu rzetelna i była oparta na rzeczywistym stanie faktycznym. Odpowiedzialność, która jednak w większym stopniu ciąży na Administratorze, nie omija bowiem Podmiotu przetwarzającego. Co więcej, może być ona dla Procesora dotkliwa w skutkach. Warto zatem zaakcentować konieczność uzupełniania kwestionariuszy przekazanych przez Administratora zgodnie z aktualnym stanem faktycznym. Podkolorowanie rzeczywistości przez Podmiot przetwarzający, tylko po to by podpisać dostać zlecenie, w przypadku incydentu bezpieczeństwa z pewnością ujrzy światło dzienne.