
Prezes UODO upomniał szpital specjalistyczny w Sosnowcu oraz podmiot świadczący usługę poczty elektronicznej po naruszeniu danych 224 osób. Administrator nie zweryfikował, czy procesor rzeczywiście zapewnia odpowiednie zabezpieczenia, a analiza ryzyka nie obejmowała konkretnie zewnętrznego dostawcy poczty. Sprawa pokazuje, że deklaracje zgodności z RODO i certyfikat ISO/IEC 27001 nie zwalniają administratora z obowiązku kontroli podmiotu przetwarzającego.
Prezes Urzędu Ochrony Danych Osobowych udzielił upomnienia szpitalowi specjalistycznemu w Sosnowcu za niewystarczającą weryfikację podmiotu przetwarzającego oraz niewłaściwe przeprowadzenie analizy ryzyka związanej z wykorzystywaniem poczty elektronicznej.
Upomnienie otrzymał również zewnętrzny dostawca usługi pocztowej. UODO stwierdził, że procesor nie przeprowadził właściwej analizy ryzyka i nie wdrożył odpowiednich środków technicznych oraz organizacyjnych, które zapewniałyby bezpieczeństwo powierzonych danych osobowych.
Postępowanie było następstwem włamania do skrzynki pocztowej administratora. Osoba nieuprawniona pobrała całą zawartość poczty, w tym dane osobowe 224 osób.
Do naruszenia doszło w 2021 r. Poczta elektroniczna szpitala była utrzymywana na serwerach zewnętrznego dostawcy. Osoba nieuprawniona uzyskała dostęp do konta pocztowego i pobrała jego zawartość. W skrzynce znajdowały się dane osobowe 224 osób.
Po otrzymaniu zgłoszenia naruszenia Prezes UODO zbadał sposób realizacji obowiązków zarówno przez administratora, jak i przez procesora. Postępowanie dotyczyło w szczególności:
UODO stwierdził nieprawidłowości po obu stronach umowy powierzenia.
Podmiot przetwarzający deklarował, że stosuje środki bezpieczeństwa zgodne z RODO i posiada certyfikat ISO/IEC 27001 w zakresie bezpieczeństwa informacji. Zapewniał również, że wdrożone środki techniczne i organizacyjne są adekwatne do rodzaju powierzonych danych. Jednak takie zapewnienia wg UODO nie były wystarczające.
Administrator powinien samodzielnie ocenić, czy procesor rzeczywiście zapewnia wymagany poziom bezpieczeństwa. Nie może ograniczyć się do przyjęcia deklaracji dostawcy, informacji marketingowej, certyfikatu lub standardowego załącznika do umowy.
Certyfikat ISO może być jednym z dowodów potwierdzających poziom bezpieczeństwa, ale nie zastępuje oceny uwzględniającej:
W praktyce administrator powinien posiadać materialne dowody świadczące o tym, że dostawca został wybrany świadomie, z należytą starannością i po przeprowadzeniu oceny jego zabezpieczeń.
Z analizy sprawy wynika, iż szpital posiadał procedury umożliwiające sprawdzenie gwarancji deklarowanych przez dostawców. Dysponował między innymi polityką współpracy z dostawcami w zakresie bezpieczeństwa informacji oraz wymogiem szacowania ryzyka w określonych postępowaniach zakupowych. Jednak administrator nie zastosował własnych procedur przy wyborze dostawcy poczty. Nie przeprowadził zgodnej z RODO oceny, czy procesor rzeczywiście zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Nie zgromadził również wystarczających dowodów pozwalających wykazać, że dostawca został właściwie zweryfikowany.
Samo opracowanie polityki bezpieczeństwa, instrukcji lub formularza oceny dostawcy nie realizuje zasady rozliczalności wskazanej w RODO. Administrator musi wykazać, że procedura została zastosowana w odniesieniu do konkretnego procesora.
Przed incydentem administrator przeprowadził analizę ryzyka dotyczącą między innymi zagrożeń mogących wystąpić podczas korzystania z poczty elektronicznej.
Analiza nie odnosiła się jednak wprost do zewnętrznego dostawcy usługi pocztowej. Nie uwzględniała zatem w wystarczającym stopniu ryzyk związanych z konkretnym modelem świadczenia usługi, infrastrukturą procesora i powierzaniem mu danych. Ponadto szpital nie wdrożył przed środków ograniczających ryzyko.
Analiza ryzyka powinna prowadzić do konkretnych decyzji dotyczących zabezpieczeń, terminów ich wdrożenia oraz osób odpowiedzialnych.
Jeżeli analiza wskazuje na możliwość przejęcia skrzynki pocztowej, administrator powinien rozważyć między innymi:
Administrator może korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych - art. 28 ust. 1 RODO.
Przetwarzanie realizowane przez procesora powinno:
Obowiązek administratora nie kończy się w chwili zawarcia umowy powierzenia. Weryfikacja powinna być prowadzona również w trakcie współpracy, w odpowiednich odstępach czasu oraz po wystąpieniu istotnych zmian.
Takimi zmianami mogą być na przykład:
Weryfikacja może mieć formę ankiety bezpieczeństwa, analizy dokumentacji, audytu zdalnego, kontroli na miejscu, testów, przeglądu raportów z audytów lub przedstawienia dowodów potwierdzających działanie zabezpieczeń.
Zasada rozliczalności wymaga nie tylko działania zgodnego z RODO, lecz także możliwości wykazania tej zgodności.
Administrator powinien przechowywać dokumentację potwierdzającą ocenę procesora. W zależności od charakteru usługi mogą to być:
Zakres kontroli powinien być proporcjonalny do ryzyka. Innej weryfikacji może wymagać dostawca przetwarzający jedynie służbowe dane kontaktowe, a innej podmiot utrzymujący pocztę zawierającą informacje o zdrowiu pacjentów.
Obowiązek zapewnienia bezpieczeństwa nie spoczywa wyłącznie na administratorze. Podmiot przetwarzający powinien samodzielnie ocenić ryzyko związane ze świadczoną usługą i wdrożyć odpowiednie środki ochrony.
W omawianej sprawie UODO ustalił, że procesor nie przeprowadzał analizy ryzyka dotyczącej bezpieczeństwa powierzonych danych osobowych. Oznacza to, że dostawca nie był w stanie odpowiednio wykazać, dlaczego zastosowane zabezpieczenia są adekwatne do zagrożeń. Samo ogólne zapewnienie o zgodności z RODO nie są wystarczające.
Procesor powinien w szczególności:
Prezes UODO uznał, że w danej sprawie wystarczające będzie upomnienie dla szpitala. Wzięto pod uwagę fakt, iż przed podpisaniem umowy powierzenia ustalił wykaz środków bezpieczeństwa, które miały chronić powierzone dane. Naruszenie nie wynikało więc z całkowitego braku działań, lecz z ich niewystarczającego zakresu i nieskutecznego stosowania procedur. Organ nadzorczy uwzględnił również:
W odniesieniu do procesora UODO także wziął pod uwagę działania podjęte w celu poprawy bezpieczeństwa.
Lista kontrolna: Co administrator powinien zrobić w zakresie sprawdzenia podmiotu przetwarzającego
|
Którzy dostawcy są podmiotami przetwarzającymi? |
|
|
Jakie dane i kategorie osób zostały im powierzone? |
|
|
Czy przed zawarciem umowy przeprowadzono ocenę dostawcy? |
|
|
Czy administrator posiada dowody tej oceny? |
|
|
Czy analiza ryzyka uwzględnia konkretną usługę i konkretnego procesora? |
|
|
Czy wskazane środki bezpieczeństwa zostały faktycznie wdrożone? |
|
|
Kiedy ostatnio ponownie oceniano dostawcę? |
|
|
Czy umowa umożliwia przeprowadzenie audytu lub inspekcji? |
|
|
Czy procesor przekazuje informacje o zmianach i podprocesorach? |
|
|
Czy procedury bezpieczeństwa obejmują przejęcie konta pocztowego? |
Szczególną uwagę należy poświęcić usługom, w ramach których przetwarzane są dane dotyczące zdrowia, dane finansowe, informacje o zatrudnieniu, dane dzieci oraz inne informacje mogące powodować wysokie ryzyko dla osób fizycznych.
Przeczytaj również:
Źródło: UODO, DKN.5131.12.2022
Zapraszamy na webinar prowadzony w konwencji warsztatowej z wykorzystaniem praktycznych przykładów, pytań i odpowiedzi. Dedykowany jest zarówno do osób początkujących, rozpoczynających lub pełniących funkcję IOD od niedawna, jak również do osób pragnących ugruntować posiadaną wiedzę w zakresie odpowiedniego nadzoru przestrzegania zasad i przepisów z zakresu ochrony danych osobowych w organizacji.
© Portal Poradyodo.pl