Największe problemy związane z zarządzaniem bazami danych osobowych we współpracy z partnerami zewnętrznymi

Obecnie konieczność zawarcia umowy powierzenia przetwarzania danych osobowych z zewnętrznym podmiotem, który będzie zarządzał bazą danych osobowych, nie budzi wątpliwości. Natomiast samo zawarcie umowy powierzenia przetwarzania danych osobowych może być niewystarczające z punktu widzenia zabezpieczenia takiej bazy. Dla administratorów danych istotny jest nie tylko fakt formalnego zawarcia umowy powierzenia, ale przede wszystkim zapewnienie przez podmiot przetwarzający rzeczywistego i zgodnego z RODO zabezpieczenia takich baz przed ich naruszeniem.

Zabezpieczenia baz danych osobowych

Jednym z największych problemów, jakie wiążą się z powierzeniem zarządzania bazami danych osobowych zewnętrznym podmiotom, jest w szczególności poziom zabezpieczeń tych danych, jakie zostały wdrożone przez procesora.
Zgodnie z art. 28 ust. 1 RODO administrator danych korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, tak aby przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
W kontekście powołanego przepisu pojawia się pytanie, jakie powinny być te wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych zgodnie z wymogami RODO. Odpowiedź na to pytanie może dać przede wszystkim analiza ryzyka przeprowadzona przez administratora danych oraz podmiot przetwarzający. Istotne znaczenie ma to, jakie dane osobowe będą znajdować się w bazie danych (dane zwykłe czy dane szczególnych kategorii), jakiej liczby osób te dane będą dotyczyć, gdzie będą przechowywane, jaka technologia zostanie wykorzystana do ich przetwarzana, jakie istnieją zagrożenia związane z powierzeniem przetwarzania tych danych i jak je zminimalizować. Tylko odpowiednio przeprowadzona analiza ryzyka pozwoli na ustalenie, jak powinny zostać zabezpieczone powierzone bazy danych. Mając tak przeprowadzoną analizę ryzyka, administrator danych może określić, jakie środki techniczne i organizacyjne są niezbędne w celu prawidłowego zabezpieczenia powierzonych danych. Tym samym administrator danych zyskuje świadomość, jakie wymagania powinien stawiać procesorowi i jakich oczekuje od niego gwarancji potwierdzających wdrożenie tych zabezpieczeń.
Sama deklaracja złożona przez podmiot przetwarzający może okazać się niewystarczająca, zwłaszcza jeśli zarządzanie bazami danych okaże się skomplikowanym procesem z uwagi na liczbę rekordów baz danych lub zastosowaną technologię.
W takiej sytuacji ustawodawca europejski wprowadził w przepisach RODO art. 28 ust. 3 pkt h, zgodnie z którym podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w przedmiotowym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

Wprowadzenie tego rodzaju zapisów do umowy powierzenia przetwarzania danych pozwala administratorowi danych na weryfikację deklaracji podmiotu przetwarzającego co do wprowadzonych zabezpieczeń.
 

Ważne

Za wybór odpowiedniego podmiotu przetwarzającego, który daje gwarancje spełnienia wymagań RODO, odpowiada administrator danych. Przepisy art. 28 RODO regulujące kwestie powierzenia przetwarzania danych dają administratorom szereg uprawnień, dzięki którym może on zweryfikować poziom zabezpieczeń stosowanych przez wybranego procesora.

Wprowadzając te mechanizmy do RODO, ustawodawca europejski miał na celu umożliwienie administratorowi danych sprawdzenie swoich kontrahentów, którym chciałby powierzyć przetwarzanie danych osobowych.

Wskazane możliwości przeprowadzenia audytów i kontroli mają pomóc administratorom danych wybrać takiego procesora, który nie tylko deklaruje wprowadzenie odpowiedniego poziomu zabezpieczeń, ale rzeczywiście takie zabezpieczenia wprowadził.

Jeżeli bowiem administrator danych ma ponosić odpowiedzialność w zakresie wyboru odpowiedniego procesora danych, to musi mieć narzędzia, które pozwolą mu zweryfikować deklarację podmiotu przetwarzającego dotyczącą zabezpieczenia danych osobowych oraz wdrożenia przepisów RODO.


Wywiązywanie się z obowiązku odpowiadania na żądania osoby, której dane dotyczą

Zgodnie z art. 28 ust. 3 pkt e RODO podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi – poprzez odpowiednie środki techniczne i organizacyjne – wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.
Przepisy RODO przyznają osobom, których dane dotyczą, szereg uprawnień, dzięki którym mogą one realizować swoje prawa związane z ochroną danych osobowych. Do najważniejszych z nich należą: prawo do sprostowania danych, prawo do usunięcia danych („prawo do bycia zapomnianym”), prawo do ograniczenia przetwarzania, prawo do przenoszenia danych, prawo do sprzeciwu. Administratora danych, który otrzyma żądanie realizacji jednego lub kilku ze wskazach uprawnień przez osobę, której dane dotyczą, zobowiązany jest do ich realizacji, chyba że z jakiegoś powodu ich wykonanie w chwili skierowania zapytania jest niemożliwe, np. nie można zrealizować prawa do bycia zapomnianym dotyczącego usunięcia danych osobowych z dokumentów księgowych w okresie, w którym taka dokumentacja musi być przechowywana przez administratora danych z uwagi na przepisy ustawy o rachunkowości. Może się jednak zdarzyć tak, że odpowiedź na takie żądanie lub jego realizacja będzie wymagała pomocy lub współdziałania podmiotu przetwarzającego.
 

Ważne!

Jeśli administrator danych powierza zarządzanie bazami tych danych zewnętrznemu podmiotowi, to ma prawo oczekiwać, ze procesor pomoże mu odpowiadać na żądania osób, których dana dotyczą, jak również pomoże wypełnić ciążące na nim obowiązki.

Zakres udzielonej przez procesora pomocy zależy głównie od możliwości technicznych podmiotu przetwarzającego.

Nie ulega bowiem wątpliwości, że w sytuacji, kiedy procesor zarządza bazami danych, to on ma możliwości podjęcia odpowiedniej reakcji na żądanie osób, których dane dotyczą.

Przede wszystkim udziela informacji, czy realizacja konkretnego żądania jest w ogóle możliwa, np. usunięcie danych osobnych z kopii baz danych bez naruszenia integralności konkretnej bazy.

Ponadto w takiej sytuacji to często procesor jako podmiot zarządzający bazą danych może dokonać w niej określonych czynności, np. usunąć dane konkretnej osoby lub przygotować odpowiednie pliki do przeniesienia danych.

W takiej sytuacji konieczny jest wybór podmiotu przetwarzającego, który sprosta tym zadaniom, przede wszystkim w kwestiach technicznych.


Pomoc w realizacji obowiązków wynikających z art. 32–36 RODO

Zgodnie z art. 28 ust. 3 pkt f RODO podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO. Tymi obowiązkami, oprócz odpowiedniego zabezpieczenia baz danych, są także: obowiązek zgłoszenia naruszeń danych osobowych organowi nadzorczemu, zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, ocena skutków dla ochrony danych i uprzednie konsultacje z organem nadzorczym.

Należy wskazać, że jednym z najistotniejszych obowiązków, jakie dla administratorów wynikają z RODO, jest zgłoszenie naruszeń danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych. Nie ulega jednak wątpliwości, że obecnie wiele z tych naruszeń będzie zauważonych przez podmiot przetwarzający, który zarządza bazami danych i nadzoruje system, w którym dane są przetwarzane, ma więc najlepszą wiedzę, kiedy wystąpił incydent i jakie mogą być jego skutki.
 

Ważne!

Zgodnie z RODO administrator danych powinien zawiadomić Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu ochrony danych osobowych w ciągu 72 godzin od momentu stwierdzenia takiego naruszenia.

Często zdarza się jednak, że błędy systemu, które prowadzą np. do wycieku danych, są zauważane po dłuższym czasie, np. po kilku dniach. W takiej sytuacji w zgłoszeniu do Urzędu Ochrony Danych Osobowych Administrator danych powinien wyjaśnić powód opóźnienia w przesłaniu zgłoszenia naruszenia. Wtedy należy też wykazać, że opóźnienie w stwierdzeniu naruszenia wynikło z winy podmiotu przetwarzającego.

Jednak tego typu stwierdzenie nie zwalnia z odpowiedzialności administratora danych, który odpowiada za wybór odpowiedniego procesora.


Ponadto, jeśli okazałoby się, że konieczne jest zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, to procesor zarządzający bazą danych posiada informacje, czyje dane zostały naruszone, a zatem jest w stanie wskazać krąg osób, które należy zawiadomić o stwierdzonym naruszeniu. Warto także pamiętać, że w przypadku dużego wycieku danych zawiadomienie wszystkich osób, których dane dotyczyły, może być czasochłonne i kosztowne. Natomiast dostarczenie odpowiednich rozwiązań technicznych przez podmiot zarządzający bazą danych może ten proces znacznie uprościć.
 

Ważne!

Wybór odpowiedniego podmiotu zarządzającego bazą danych osobowych zależy przede wszystkim od wielkości
takiej bazy, a także od rodzaju danych w niej zawartych.

Im bardziej skomplikowany będzie proces zarządzania konkretną bazą danych, tym bardziej administrator danych powinien zwracać uwagę na kompetencje oraz rozwiązania techniczne, które oferuje podmiot przetwarzający. Jak wskazano wyżej, pomoc podmiotu przetwarzającego dane, zwłaszcza w kwestiach technicznych, może w znaczącym stopniu pomóc administratorowi danych wywiązać się z ciążących na nim obowiązków.

Niezależnie jednak od wielkości i rodzaju bazy danych osobowych, warto w umowie powierzenia wskazać, w jaki sposób podmiot przetwarzający będzie zobowiązany do pomocy administratorowi danych w realizacji jego obowiązków.