W dniu 19 stycznia 2022 r. Prezes Urzędu Ochrony Danych Osobowych wydał Decyzję[i], która może służyć za wskazówkę, w jaki sposób należy wprowadzać zmiany do infrastruktury informatycznej zgodnie z RODO, a także jak prawidłowo ukształtować stosunki na linii administrator- podmiot przetwarzający.
Na gruncie opisywanej decyzji mamy do czynienia z dwiema spółkami- administratorem, który jest dostawcą energii dla dużej grupy odbiorców oraz podmiotem przetwarzającym- spółką z branży IT, która przetwarza dane tych odbiorców w ramach świadczonej na rzecz administratora usługi archiwum cyfrowego.
Przedmiotem postępowania była sytuacja, do której doszło w kwietniu 2020 r. W tamtym czasie administrator zgłosił podmiotowi przetwarzającemu, że usługa archiwum cyfrowego działa zbyt wolno. W związku z tym podmiot przetwarzający samodzielnie dokonał zmiany systemu w celu poprawy jego wydajności i szybkości działania. Zmiana polegała na stworzeniu i instalacji nowej bazy klientów administratora. Niestety, baza ta została skopiowana przez nieuprawnione podmioty. W bazie nie było danych „wrażliwych”, ale były tam takie dane jak PESEL, rodzaj, seria i numer dokumentu tożsamości, adres e-mail, numer telefonu, numer i adres punktu poboru oraz dane dotyczące umowy zawartej z administratorem.
Podmiot przetwarzający wskazał, iż na etapie, w którym doszło do wycieku danych osobowych, nie zostały jeszcze wdrożone zabezpieczenia systemu. Etap wdrożenia produkcyjnego i zakończenie wdrażania zabezpieczeń był planowany właśnie w kwietniu 2020 r. W czasie, w którym doszło do wycieku, trwał proces testów, a także zasilanie bazy danymi.
Po przeprowadzeniu postępowania w powyższej sprawie PUODO nałożył kary na:
Rozpatrując opisywaną sprawę PUODO powołał szereg przepisów, dotyczących obowiązków zarówno administratora, jak i podmiotu przetwarzającego. W szczególności należy zwrócić uwagę na art. 32 ust. 1 RODO, zgodnie z którym administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Nie chciałbym tutaj jednak przedstawiać wszystkich przepisów RODO, a skupić się na praktycznych aspektach, które wynikają z opisywanej decyzji.
Jakie zatem środki bezpieczeństwa o charakterze technicznym oraz organizacyjnym powinny znaleźć zastosowanie w przypadku wdrażania (zmiany) w systemie teleinformatycznym?
Bazy danych wykorzystywanych do przetwarzania danych osobowych powinny być odpowiednio zabezpieczone. Należy dbać o to, aby z jednej strony zapewnić dostęp wyłącznie uprawnionym użytkownikom, a z drugiej strony zapobiec nieuprawnionemu dostępowi przez innych użytkowników.
Ustanawiając zabezpieczenia należy brać pod uwagę stan wiedzy technicznej, w szczególności w zakresie dostępności i akceptowalności danego rozwiązania przy uwzględnieniu aktualnych uwarunkowań rynkowych. Oznacza to, że wybierając rozwiązania w zakresie zabezpieczeń kierujemy się tym, aby stosować skuteczne i jak najbardziej aktualne rozwiązania, a nie takie, które są już przestarzałe i tym samym nie zapewniają odpowiedniej ochrony.
Organ wskazuje przy tym, że funkcje bezpieczeństwa powinny być testowane na poziomie rozwojowym danego rozwiązania informatycznego, a nie na etapie wdrożenia, jak miało to miejsce w opisywanym przypadku.
W opisywanej sprawie na etapie testowania nowego rozwiązania informatycznego podmiot przetwarzający od razu wprowadził do bazy danych prawdziwe dane osobowe klientów administratora. Był to błąd. Zdaniem PUODO do testowania nie powinno się używać danych identyfikujących lub poufnych, a jeżeli takie dane są mimo wszystko stosowane to powinno usunąć się wszelkie wrażliwe szczegóły oraz kontekst poprzez ich usunięcie lub modyfikację. Jeżeli dla celów testowania koniecznym będzie wykorzystanie danych rzeczywistych to dane te powinny być chronione szczególnie. W takim wypadku należy zastosować takie same procedury kontroli dostępu jak w przypadku systemów produkcyjnych. W tym zakresie organ powołuje się wprost na normę PN-EN ISO/IEC 27002:2017-06. Wydaje się to całkowicie logiczne – skoro wykorzystujemy dane rzeczywiste to powinniśmy również stosować realne zabezpieczenia tych danych.
Odpowiedni poziom bezpieczeństwa danych osobowych może być osiągnięty m.in. przez pseudonimizację, która zgodnie z przywołanym przez organ motywem 29 RODO może ograniczyć ryzyko dla osób, których dane dotyczą, a także pomóc administratorowi i podmiotowi przetwarzającemu wywiązać się z nałożonych na te podmioty obowiązków ochrony danych. Pseudonimizacja nie służy jednocześnie wykluczeniu innych środków ochrony danych.
Niemniej jednak zastosowanie pseudonimizacji na gruncie opisywanej sprawy niewątpliwie pozwoliłoby zachować poufność danych osobowych. Zastosowanie tego rozwiązania powoduje, że nawet jeżeli dojdzie do wycieku danych to nie będzie możliwości przypisania danych do konkretnej osoby bez dodatkowych informacji o tej osobie.
Poza środkami o charakterze technicznym PUODO położył również nacisk na rozwiązania o charakterze organizacyjnym, przy czym podkreślić należy, że te rozwiązania powinny być realnie stosowane, a nie istnieć jedynie na papierze.
Przedsiębiorstwo działające w branży IT powinno przyjąć i wdrożyć odpowiednie polityki, zawierające w szczególności:
– sposób dokonywania zmian w systemach informatycznych służących do przetwarzania danych osobowych,
– konieczność utworzenia środowiska testowego,
– odpowiedniego zabezpieczenia rzeczywistych danych klientów administratora, w przypadku ich wykorzystania do testowania wprowadzanych zmian,
– zasad kontroli poprawności realizacji poszczególnych etapów projektu,
– zdefiniowanie wymaganych zabezpieczeń.
Do zapewnienia realizacji zasady rozliczalności, tj. dla wykazania odpowiedniego wdrożenia ochrony danych osobowych, nie jest wystarczającym zastosowanie systemu wspomagania do zarządzania projektami, który zawiera jedynie zlecenia wykonania poszczególnych czynności. Taki system nie spełnia wymagań w zakresie zapewnienia bezpieczeństwa danych osobowych, albowiem brak jest udokumentowania poszczególnych etapów realizacji projektu i zdefiniowanych zabezpieczeń, co może doprowadzić (i w niniejszej sprawie doprowadziło) do naruszenia ochrony danych osobowych. Z tego względu przy wykonywaniu tego typu prac należy odpowiednio udokumentować etapy projektu i wypełnienie procedur w zakresie bezpieczeństwa danych. Należy również pamiętać o tym, aby umowa powierzenia przetwarzania nie było dokumentem „martwym”, ale aby była realnie stosowana. W opisywanej sprawie przykładowo umowa powierzenia zawierała obowiązek wprowadzenia pseudonimizacji danych, co jednak nie zostało wdrożone.
Zmiany w infrastrukturze informatycznej
Jak prawidłowo wdrażać zmiany w systemie informatycznym? Przede wszystkim organ zwraca uwagę na zasadę privacy by design, zgodnie z którą już na etapie projektowania rozwiązań należy zadbać o odpowiednią ochronę danych osobowych. Administrator powinien posiadać odpowiednie procedury w tym zakresie i powinien weryfikować sposób wprowadzania zmian do systemu przez podmiot przetwarzający.
Na gruncie niniejszej sprawy administrator posiadał co prawda odpowiednie procedury, jednak nie wykorzystał ich prawidłowo. Administrator miał prawo żądać wglądu do planów prac i dokumentów, jednak zaniechał skierowania odpowiedniego żądania w tym zakresie. Zdaniem PUODO administrator powinien był jednak poprosić podmiot przetwarzający o przedstawienie planu prac, a także powinien był oczekiwać przetestowania ich w środowisku testowym przed ich wdrożeniem, a także powinien był upewnić się, że dane osobowe są odpowiednio zabezpieczone.
Administrator ma obowiązek stosowania prawa nadzoru nad czynnościami podejmowanymi przez podmiot przetwarzający w jego imieniu. Administrator posiadał odpowiednie procedury oraz wiedzę w zakresie tego, w jaki sposób powinno odbywać się wdrożenie zmian w systemach informatycznych. Pomimo tego nie zdecydował się na sprawdzenie, czy przeprowadzone prace odbywają się w zgodzie z:
– przepisami prawa;
– umową powierzenia przetwarzania danych osobowych;
– umową przechowania (dot. usługi archiwum dokumentów).
Administrator ograniczył się do zgłoszenia procesorowi faktu, że system działa powolnie, a następnie nie interesował się tym, w jaki sposób funkcje tego systemu zostaną poprawione. Wręcz przeciwnie, administrator poinformował spółkę, że system „działa prawidłowo”, a uwagi zostaną przekazane „po dłuższym testowaniu”. Uderzające jest tutaj całkowite pominięcie kwestii bezpieczeństwa powierzonych danych osobowych.
Tymczasem, z art. 32 ust. 1 lit. d) RODO wynika obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W związku z powyższym administrator powinien regularnie dokonywać przeglądów i aktualizacji wdrożonych rozwiązań, nie tylko w aspekcie technicznym, ale także organizacyjnym. PUODO wskazuje w szczególności, że obowiązek ten nie ma charakteru jednorazowego, ale jest procesem, który powinien odbywać się ciągle. Oznacza to, że podmioty odpowiedzialne za ochronę danych osobowych powinny przeprowadzać cykliczny przegląd stosowanych procedur i polityk, a także upewniać się, że są one stosowane.
Administrator powinien był również skorzystać ze swoich uprawnień w zakresie przeprowadzenia audytów i inspekcji, w celu sprawdzenia, czy podmiot przetwarzający prawidłowo realizuje swoje obowiązki. Administrator jest zobowiązany do posiadania wiedzy, czy podmiot przetwarzający zapewnia odpowiednie gwarancje wdrożenia środków technicznych i organizacyjnych. Z tego względu administrator zobowiązany jest do sprawowania nie tylko do regularnego nadzoru zastosowanych zabezpieczeń, ale także stałego nadzoru nad podmiotem przetwarzającym przez audyty i inspekcje.
Umowa powierzenia przetwarzania danych osobowych nie może być martwym dokumentem, ale jej zapisy powinny być przez administratora egzekwowane. Administrator powinien mieć własną praktykę wdrażania zmian w środowisku IT, opartą o wewnętrzne regulacje i z tej perspektywy powinien weryfikować działania procesora mających na celu usprawnienie usługi.
Mało tego, zdaniem PUODO zapewnienie przez administratora danych nadzoru i monitorowania prac rozwojowych nad systemami, zleconych podmiotom zewnętrznym, to jeden z podstawowych środków organizacyjnych, jaki powinien administrator skutecznie wdrożyć w celu zapewnienia bezpieczeństwa danych osobowych.
Środki organizacyjne oraz techniczne nie powinny być dobierane w sposób całkowicie swobodny i dobrowolny. Administrator musi uwzględnić stopień ryzyka i charakter chronionych danych osobowych. Środki te muszą być również adekwatne do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. Na gruncie opisywanej sprawy brak spełnienia ww. wymagań doprowadził w konsekwencji do niezapewnienia ochrony danych osobowych.
Konieczność weryfikacji procesora jest obowiązkiem administratora. Administrator nie może usprawiedliwiać braku przeprowadzenia odpowiedniej weryfikacji faktem, że długotrwale współpracuje z procesorem i nigdy nie dochodziło w czasie tej współpracy do incydentów bezpieczeństwa. Administrator powinien okresowo, systematycznie przeprowadzać audyty lub inspekcje w celu sprawdzenia, czy procesor w sposób prawidłowy realizuje zadania przewidziane w umowie powierzenia oraz w przepisach prawa.
Administrator nie może poprzestać na pozytywnej ocenie współpracy, ale musi faktycznie sprawdzić, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Podpisanie umowy powierzenia przetwarzania bez dokonania odpowiedniej oceny procesora nie oznacza wypełnienia obowiązku przeprowadzenia weryfikacji procesora pod kątem spełnienia wymogów RODO.
Opisywana decyzja powinna spowodować, że firmy IT przyjrzą się swoim dotychczasowym praktykom w zakresie przygotowania i wdrażania zmian w infrastrukturze informatycznej służącej do przetwarzania danych osobowych. Przede wszystkim przedsiębiorstwa IT powinny upewnić się, że mają wdrożone odpowiednie procedury, uwzględniające zasadę privacy by design oraz zapewniające testowanie zmian bez wykorzystania rzeczywistych danych lub z uwzględnieniem ich zabezpieczeń, przy czym zabezpieczenia te powinny być przetestowane jeszcze na etapie rozwojowym projektu.
Dodatkowo, każdy przedsiębiorca, który powierza dane osobowe, powinien się upewnić, że:
[i] Decyzja z dnia 19 stycznia 2022 r., DKN.5130.2215.2020, dostęp online: https://uodo.gov.pl/decyzje/DKN.5130.2215.2020
Podobał Ci się artykuł? Może Cię również zainteresować artykuł dot. Dopuszczalności monitorowania pracy zdalnej, dostępny tutaj tutaj.
