Nadzór nad zgodnością procesorów z RODO

Jak skutecznie chronić dane osobowe powierzane podmiotom zewnętrznym?

Korzystanie tylko z takich dostawców usług, którzy przestrzegają RODO jest dość dużym wyzwaniem dla większości organizacji. Teoretycznie wystarczy zawrzeć umowę powierzenia przetwarzania danych osobowych, która zawiera odpowiednie zabezpieczenia prawne i pozornie temat zamknięty. Jak się okazuje niestety nie do końca. Samo zawarcie umowy powierzenia przetwarzania danych osobowych nie znosi odpowiedzialności administratora danych, czyli organizacji która powierzyła dane do dalszego przetwarzania podwykonawcy czy dostawcy usług. Odpowiedzialność wciąż jest solidarna co oznacza, że mimo dostosowania RODO u Nas samych, możemy ponieść konsekwencje za niezgodność z RODO naszego procesora.

Relacje z podmiotem przetwarzajacym (procesorem)

Z natury rzeczy pierwszym krokiem w relacjach z procesorem danych z reguły jest zawarcie umowy powierzenia przetwarzania danych osobowych. Pierwsze pytanie brzmi czy zanim dojdzie do zawarcia takiej umowy nie powinniśmy najpierw sprawdzić czy procesor spełnia wymogi RODO. Zgodnie z motywem (81) RODO:

„Aby zapewnić przestrzeganie wymogów niniejszego rozporządzenia w przypadku przetwarzania, którego w imieniu administratora ma dokonać podmiot przetwarzający, administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom niniejszego rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania.

Wniosek nasuwa się sam, że ustawodawca unijny nie wymaga jedynie zwarcia umowy powierzenia przetwarzania danych osobowych lub innego instrumentu prawnego wiążącego strony, a również zapewnienia wystarczających gwarancji w obszarze wiedzy fachowej, wiarygodności i bezpieczeństwa przetwarzania. W jaki sposób możemy sobie zapewnić wystarczające gwarancje jako administrator danych? Teoretycznie możemy zrobić audyt w organizacji procesora i sprawdzić czy rzeczywiście przestrzega RODO. Zgodnie z Art. 28 ust. 3 lit. h) RODO:

„Podmiot przetwarzający [przyp. autora] udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

Jednak większość organizacji by poddać się audytowi będzie wymagała zawarcia umowy powierzenia przetwarzania danych osobowych w celu usankcjonowania audytu. Tak naprawdę jeszcze nie podjęliśmy decyzji o nawiązaniu współpracy z procesorem, więc w każdej chwili możemy odstąpić od jej zawarcia. W związku z powyższym skąd mamy wiedzieć czy procesor zapewnia wystarczające gwarancje wdrożenia RODO?

Ankieta ochrony danych osobowych i bezpieczeństwa informacji

Dostawcy usług i podwykonawcy zawsze stanowią pewne ryzyko, gdyż nie mamy do końca pewności czy nie doprowadzą do kompromitacji naszej organizacji. Jak niestety pokazuje praktyka im tańsza usługa dostawcy tym proporcjonalnie poziom bezpieczeństwa informacji (w tym danych osobowych) jest niższy. Biorąc pod uwagę, że bezpieczeństwo informacji to koszty w sumie nie ma się co dziwić, że tak, a nie inaczej kształtuje się rzeczywistość. W praktyce wdrażania normy ISO 27002 powyższy obszar został już uwzględniony i opisany na gruncie bezpieczeństwa informacji. Zgodnie z powyższym standardem:

„Należy uzgodnić z dostawcą i udokumentować wymagania bezpieczeństwa informacji celem zmniejszenia ryzyk związanych z dostępem dostawcy do aktywów organizacji.”

Korzystając z powyższych wskazówek możemy np. stworzyć listę kontrolną (ankietę), która będzie zawierała wszelkie wymogi stawiane wobec procesora, a wynikające z RODO oraz dodatkowo w zależności od tego jak będzie wyglądał proces powierzania danych pytania o zabezpieczenia stosowane przez procesora. Przygotowaną ankietę wysyłamy do procesora przed zawarciem umowy o świadczenie usług. Procesor w skrajnych przypadkach może wymagać zawarcia umowy o zachowaniu poufności, ale z tym nie powinniśmy mieć problemu. Ostatecznie wysyłamy ankietę do procesora i jak tylko ją otrzymamy uzupełnioną, już będziemy w stanie wykazać należytą staranność w zakresie zabezpieczeń. Zalet takiego rozwiązania jest kilka. Po pierwsze na podstawie uzupełnionej ankiety poznamy szacunkowy poziom bezpieczeństwa informacji w organizacji procesora. Po drugie ankietę będziemy mogli zweryfikować podczas audytu bezpośredniego jak tylko dojdzie do zawarcia umowy powierzenia przetwarzania danych osobowych. Ostatecznie składając zapytania ofertowe do kilku podwykonawców przy wyborze tego jednego będziemy mieli kolejny czynnik, który może wpłynąć na ostateczny wybór oferty. Z powyższej metody od dawna korzystają już banki i w zasadzie cały sektor finansowy, który nie może sobie pozwolić na ryzykownych dostawców usług.

Ocena procesora na podstawie ankiety

Metod oceny poziomu bezpieczeństwa informacji w organizacji możemy sobie wyobrazić dość sporo. Możemy każdemu punktowi z ankiety przypisać wartość punktową i ostatecznie ten podmiot, który osiągnie najwyższą liczbę punktów będzie tym, który zapewnia najwyższy poziom bezpieczeństwa. Możemy również w ankiecie określić punkty krytyczne bez spełnienia, których nie powinno dość do skorzystania z usługi procesora np. punkt dotyczący przeprowadzania analizy ryzyka wobec zasobów. Jeżeli procesor nie przeprowadził analizy ryzyka wobec zasobów to skąd będzie wiedział czy zastosowane przez niego zabezpieczenia są adekwatne do istniejących zagrożeń. Inna metoda przewiduje indywidualną ocenę każdego punktu ankiety w formie zgodności lub niezgodności i w razie wystąpienia niezgodności przedstawia się procesorowi warunki nawiązania współpracy. Warunkami tymi jest zapewnienie zgodności w wadliwych obszarach. W tym miejscu bardzo dobrze sprawdza się funkcja inspektora ochrony danych, który takie ankiety i analizy może, a nawet powinien przeprowadzić. Niezależnie jednak od wybranej metody oceny procesora ostatecznie działanie to sprowadza się do rekomendowania najwyższemu kierownictwu organizacji, podjęcia współpracy z procesorem lub wyboru innego dostawcy.

Czy warto oceniać dostawców?

Często można usłyszeć typową odpowiedź na powyższe pytanie. – Po co sprawdzać procesorów? I tak praktycznie nie ma wcale kontroli organu nadzorczego w obszarze RODO. Jednak sprawdzając procesorów nie robimy tego z obawy przed kontrolą UODO tylko z obawy przed utratą wiarygodności biznesowej. Weźmy za przykład scenariusz, w którym Nasza organizacja korzysta z usług dostawców (outsourcingu) w obszarze IT, Kadr i Płac oraz marketingu i SEO. Brak weryfikacji dostawcy usług w obszarze IT, może spowodować że dane klientów Naszej organizacji przetwarzane przez tego dostawcę zostaną np. ujawnione przez niewystarczające zabezpieczenia stosowane przez dostawcę usług. Konsekwencją może być utrata klientów, konieczność wypłaty niekiedy wysokich kar umownych z tytułu naruszenia umów o zachowaniu poufności i/lub powierzenia przetwarzania danych osobowych. Biorąc pod lupę outsourcing kadrowo-płacowy, scenariusz może być bardzo podobny z tym, że teraz to nasi pracownicy stracą zaufanie do własnego pracodawcy, gdyż nie wystarczająco zabezpieczył np. dane dotyczące ich wynagrodzenia. Pracownicy raczej nie uspokoi fakt, że dane wyciekły po stronie dostawcy usługi. Z ich punktu widzenia nie było wystarczającego nadzoru nad tym procesem. Jako ostatni przykład można podać outsourcowaną obsługę firmowej strony internetowej przez podmiot świadczący usługi marketingowe. Nie zweryfikowanie standardów bezpieczeństwa procesora może spowodować, że dostęp do firmowej strony internetowej na uprawnieniach administratora uzyska osoba trzecia. Korzystając z tego dostępu nawet dla zabawy może pozmieniać treści na stronie, tak by były one jak najbardziej kompromitujące dla Naszej organizacji. Podsumowując warto sprawdzać dostawców usług, gdyż bardzo często są oni źródłem poważnych szkód, a właściwe procedury nadzoru nad nimi mogą znacznie obniżyć ryzyko ich wystąpienia naruszeń.