Upomnienie dla szpitala za brak weryfikacji podmiotu przetwarzającego
Prezes UODO Mirosław Wróblewski nałożył upomnienie na szpital specjalistyczny w Sosnowcu za brak weryfikacji podmiotu przetwarzającego pod kątem zapewnienia wystarczających gwarancji bezpieczeństwa przetwarzania danych osobowych zgodnego z RODO. Administrator został upomniany również za to, że nie przeprowadził właściwej analizy ryzyka przetwarzania danych osobowych za pomocą poczty elektronicznej. Natomiast podmiot przetwarzający został upomniany przez Prezesa UODO za brak właściwego wdrożenia odpowiednich środków zapewniających bezpieczeństwo przetwarzania danych osobowych.
Sprawa rozpoczęła się w 2021 r., gdy osoba nieuprawniona uzyskała dostęp do poczty elektronicznej administratora utrzymywanej na serwerach zewnętrznego dostawcy usługi – podmiotu przetwarzającego. Na skutek włamania do poczty elektronicznej osoba nieuprawniona pobrała z niej całą jej zawartość – w tym dane osobowe 224 osób.
Po otrzymaniu zgłoszenia naruszenia ochrony danych osobowych Prezes UODO przeanalizował okoliczności sprawy, w tym sposób realizacji obowiązków administratora, m.in. w zakresie właściwego zabezpieczania danych. Na podstawie uzyskanych wyjaśnień organ nadzorczy wszczął postępowanie administracyjne w celu ustalenia czy administrator oraz podmiot przetwarzający naruszyli swoje obowiązki wynikające z przepisów o ochronie danych osobowych.
Jak wynika z jej treści - podmiot przetwarzający oświadczył, że stosuje środki bezpieczeństwa spełniające wymogi RODO oraz uzyskał stosowną certyfikację ISO/IEC 27001 w zakresie bezpieczeństwa informacji. Ponadto oświadczył także, że stosowane przez niego środki techniczne i organizacyjne są adekwatne do rodzaju powierzonych mu danych osobowych.
Przed incydentem naruszenia ochrony danych osobowych, zgłoszonym następnie Prezesowi UODO, administrator przeprowadził analizę ryzyka – m.in czynników, które: „Mogą się zmaterializować przy wykorzystaniu poczty elektronicznej”. Nie wskazano jednak w niej wprost dostawcy usługi pocztowej. Natomiast przed stwierdzeniem incydentu naruszenia ochrony danych osobowych administrator nie podjął działań mających na celu minimalizację ryzyka, w tym nawet tych określonych w przeprowadzonej analizie ryzyka.
Prezes UODO stwierdził, że administrator posiadał organizacyjne przygotowanie do weryfikowania gwarancji zadeklarowanych przez podmiot przetwarzający – m.in. na podstawie opracowanej polityki współpracy z dostawcami w zakresie bezpieczeństwa informacji i wymogu oszacowania ryzyka w przypadku zamówienia publicznego, którego wartość nie przekracza kwoty 30 tys. euro. Mimo to administrator nie przeprowadził zgodnej z RODO oceny czy podmiot przetwarzający rzeczywiście zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych – tak by przetwarzanie spełniało wymagania określone przepisami i chroniło prawa osób, których dane dotyczą.
Administrator nie zastosował się do własnej procedury oceny ryzyka przy wyborze podmiotu przetwarzającego. Natomiast podmiot przetwarzający, jak wykazano, nie przeprowadzał analizy ryzyka w celu zapewnienia bezpieczeństwa przetwarzania powierzonych danych osobowych. O niezgodności z RODO stanowił brak możliwości zapewnienia gwarancji - wdrożenia odpowiednich środków technicznych i organizacyjnych.
Zgodnie z art. 28 ust. 1 administrator jest zobowiązany do korzystania jedynie z podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Obowiązek ten dotyczy zarówno starannego wyboru podmiotu przetwarzającego przez administratora jak i weryfikowania w odpowiednich odstępach czasu dawanych przez niego gwarancji – np. za pomocą audytów lub inspekcji. Administrator jest również zobowiązany do wykazania (w tym posiadania materialnych dowodów), że wyboru podmiotu przetwarzającego dokonano z należytą starannością, w sposób świadomy i zgodny z prawem.
Prezes UODO udzielił upomnień administratorowi i podmiotowi przetwarzającemu, ponieważ przeprowadzone postępowanie administracyjne wykazało, że naruszyli przepisy o ochronie danych osobowych. W przypadku administratora stwierdzone niezgodności z RODO skutkowały w konsekwencji naruszeniem zasad poufności oraz rozliczalności. Podmiot przetwarzający został upomniany za brak wdrożenia środków zapewniających bezpieczeństwo przetwarzania danych osobowych i ochronę praw osób, których te dane dotyczą.
Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy wystarczającym środkiem jest udzielenie administratorowi upomnienia. Za powyższym w szczególności przemawia m. in. okoliczność, że administrator przed zawarciem umowy powierzenia ustalił wykaz środków bezpieczeństwa, które miały na celu zapewnić bezpieczeństwo powierzonym danym osobowym, a stwierdzone naruszenie nie wynikało z całkowitego braku działań po stronie administratora w zakresie weryfikacji podmiotu przetwarzającego. Na korzyść Administratora należy zaliczyć także okoliczności, które wskazują, że jest on świadomy swoich zaniedbań oraz podjął działania, które dają rękojmię braku w przyszłości naruszenia wymogu weryfikacji podmiotu przetwarzającego. Ponadto Prezes UODO docenił, że administrator podjął szereg działań naprawczych w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia. Prezes UODO uwzględnił także odpowiednie wdrożenie w sprawy dotyczące ochrony danych osobowych inspektora ochrony danych, które nie było obojętne dla podniesienia poziomu bezpieczeństwa przetwarzania danych osobowych. Z kolei w odniesieniu do podmiotu przetwarzającego Prezes UODO docenił podjęte przezeń działania na rzecz podniesienia poziomu bezpieczeństwa przetwarzania danych osobowych.
DKN.5131.12.2022