Przekazanie danych osobowych do tzw. chmury (zapewnianej przez zewnętrznego usługodawcę) jest niczym innym jak powierzeniem ich przetwarzania. Nie można niestety wykluczyć wycieku tych danych lub innego naruszenia ich ochrony. W takiej sytuacji za naruszenie może odpowiadać zarówno administrator, który przekazał te dane, jak i podmiot przetwarzający, czy dostawca usługi chmurowej. Kiedy i w jakim zakresie? Wyjaśniamy to w temacie tygodnia.
Przede wszystkim w razie wycieku danych lub innego ich naruszenia to administrator powinien zawiadomić o tym naruszeniu osobę, której dane dotyczą, bez zbędnej zwłoki, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby. Informacja ta powinna umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych, (art. 34 ust. 1 RODO).
Odpowiedzialność za prawidłowość przetwarzania danych spoczywa na administratorze danych. W razie wycieku lub innego naruszenia ochrony danych to administrator może zostać pociągnięty do odpowiedzialności (w tym wobec osób trzecich).
Przykład 1
Osoba trzecia weszła w posiadanie dostępu np. podszywając się pod uprawnioną osobę i podając jej login i hasło, ale jednocześnie wykorzystała lukę bezpieczeństwa (brak dodatkowych zabezpieczeń przy logowaniu jak np. pytania pomocnicze). W efekcie skopiowała dane bez wiedzy i zgody administratora. Błąd leżał zarówno po stronie administratora jak i dostawcy chmurowego. Tym samym odpowiedzialność względem podmiotów danych i wobec Prezesa UODO ponieść może także administrator.
Zgodnie z art. 82 ust. 1 RODO że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać odszkodowanie za poniesioną szkodę zarówno od administratora jak i podmiotu przetwarzającego.
Osoba, której dane są przedmiotem naruszenia ochrony, może zdecydować się na dochodzenie odszkodowania:
Tym samym każdy administrator uczestniczący w przetwarzaniu może odpowiadać za szkody spowodowane przetwarzaniem naruszającym RODO.
Natomiast podmiot przetwarzający ponosi odpowiedzialność odszkodowawczą za szkody spowodowane przetwarzaniem wyłącznie wówczas, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.
Odpowiedzialność podmiotu przetwarzającego jest ograniczona do sytuacji, w których:
Przykład 2
Administrator może spodziewać się skierowania żądania odszkodowania bezpośrednio do podmiotu przetwarzającego, gdy podmiot przetwarzający jako dostawca usług chmurowych nie zastosował odpowiednich zabezpieczeń w chmurze i z tego powodu dane uległy wyciekowi. Podmiot przetwarzający nie spełnił bowiem wymogów nakładających na niego obowiązek wdrożenia odpowiednich technicznych i organizacyjnych środków bezpieczeństwa danych (art. 32 ust. 1 RODO).
Przykład 3
Dostawca usług chmurowych, skorzystał z usługi nierzetelnego podwykonawcy, w wyniku czego doszło do wycieku danych po stronie tego podwykonawcy.
Podmiot przetwarzający nie poniesie natomiast odpowiedzialności za szkodę wywołaną naruszeniem obowiązków administratora.
Przykład 4
Administrator przekazujący dane osobowe do chmury odpowie za nierespektowanie praw osoby, której dane dotyczą m.in. w zakresie usunięcia jej danych na żądanie lub nieuwzględnienie sprzeciwu względem przetwarzania danych w celu marketingowym, w związku z istnieniem prawnie uzasadnionego interesu administratora. W takim przypadku podmiotem wyłącznie odpowiedzialnym będzie administrator danych i od ADO podmiot danych najpewniej zażąda odszkodowania.
Czy powyższe oznacza, że administrator może ponosić odpowiedzialność za ewentualne naruszenia przepisów RODO, które wystąpią po stronie podmiotu przetwarzającego? Nie jest to wykluczone. Z drugiej strony administrator ma szanse na uwolnienie się od odpowiedzialności, jeżeli udowodni, że w żaden sposób nie ponosi winy za zdarzenia, które doprowadziło do powstania szkody (art. 82 ust. 3 RODO). To samo uprawnienie przysługuje zresztą podmiotowi przetwarzającemu.
Jeżeli więc wyciek lub inne naruszenie nastąpiło po stronie dostawcy usługi chmurowej, to administrator może uwolnić się od odpowiedzialności za to naruszenie. Z drugiej strony może odpowiadać np. za to, kogo wybrał na dostawcę usług chmurowych. Wszak administrator odpowiedzialny jest za wybór podmiotu przetwarzającego. Powinien on bowiem korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 RODO).
Przykład 5
Możliwe, że administrator nie uwolni od odpowiedzialności, gdy wprawdzie wyciek danych był wynikiem niedostatecznych zabezpieczeń stosowanych przez podmiot przetwarzający, ale jednocześnie administratorowi można zarzucić wybór dostawcy chmurowego jedynie w oparciu o kryterium ceny, bez weryfikacji stopnia bezpieczeństwa danych przechowywanych w chmurze, jaki zapewniał dostawca.
Jeżeli bowiem w tym samym przetwarzaniu uczestniczy zarówno administrator jak i podmiot przetwarzający i odpowiadają za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania (art. 82 ust. 4 RODO).
Z tego względu w umowiepowierzenia przetwarzania danych (albo w umowie o świadczenie usług chmurowych, jeżeli ma ona zawierać zapisy dotyczące powierzenia przetwarzania danych) tak istotne jest uregulowanie zagadnień dotyczących bezpieczeństwa danych. Umowa ta zgodnie z art. 28 ust. 3 RODO powinna obligować podmiot przetwarzający do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, przy uwzględnieniu stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania.
Nie ulega wątpliwości, że brak takich zapisów w umowie, a tym bardziej brak zapisów dotyczących powierzenia danych, stanowi okoliczność obciążającą administratora danych osobowych.
Dostawca usługi chmurowej jako podmiot przetwarzający może ponieść odpowiedzialność nie tylko względem podmiotu, którego dane były przedmiotem naruszenia ochrony, ale także względem swojego kontrahenta czyli administratora danych. Jest to tzw. odpowiedzialność regresowa, tj. za szkodę, jaką poniósł administrator w wyniku naruszenia ochrony danych, za które odpowiada podmiot przetwarzający.
Przykład 6
Administrator musi wypłacić odszkodowanie za szkodę na rzecz osoby, która poniosła szkodę w związku z naruszeniem ochrony jej danych osobowych. Naruszenie jest wynikiem niewystarczającego zabezpieczenia danych w chmurze. Poza tym administrator z tego tytułu został ukarany przez Prezesa UODO. W konsekwencji administrator zyskuje roszczenie względem podmiotu przetwarzającego o odszkodowanie odpowiadające wysokości straty, jaka została poniesiona wskutek naruszenia (odszkodowanie + kara).
W związku z tym warto zwracać uwagę na treść umowy powierzenia przetwarzania danych. Administrator powinien unikać dostawców, którzy proponują zawarcie umowy ograniczającej ich odpowiedzialność za naruszenie do określonej kwoty. Zapisy takie nie mają bowiem znaczenia z punktu widzenia osób, których dane zostały naruszone, ale jak najbardziej wiążą administratora i podmiot przetwarzający, co może być niekorzystne finansowo dla ADO.
Zarówno administrator danych osobowych odpowiadają nie tylko przed podmiotami danych, ale również przed Prezesem Urzędu Ochrony Danych Osobowych. Wszak Prezes UODO może przeprowadzać kontrolę prawidłowości przetwarzania danych i nakładać administracyjne kary pieniężne, jeżeli uzna, że przetwarzanie danych jest niezgodne z RODO. Jeśli zatem Prezes UODO uzna, że naruszenie przepisów wystąpiło po stronie podmiotu przetwarzającego, wówczas może nałożyć karę na ten podmiot. Jeżeli zaś dostrzeże nieprawidłowości po stronie administratora danych osobowych, wówczas może nałożyć karę także na administratora.
Administrator przekazujący dane osobowe do chmury musi liczyć się z ryzykiem wymierzenia kary pieniężnej przez Prezesa UODO zwłaszcza w przypadku gdy:
Przedstawione rozważania, choć były ukierunkowane na kwestie przekazywania danych do usług chmurowych, w istocie mają zastosowanie także do innych przypadków powierzenia przetwarzania danych.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl