Aktualny

Sam certyfikat ISO nie wystarczy do weryfikacji podmiotu przetwarzającego

Anna Śmigulska-Wojciechowska

Autor: Anna Śmigulska-Wojciechowska

Dodano: 15 lipca 2026
UODO: brak weryfikacji procesora i analizy ryzyka poczty

Prezes UODO upomniał szpital specjalistyczny w Sosnowcu oraz podmiot świadczący usługę poczty elektronicznej po naruszeniu danych 224 osób. Administrator nie zweryfikował, czy procesor rzeczywiście zapewnia odpowiednie zabezpieczenia, a analiza ryzyka nie obejmowała konkretnie zewnętrznego dostawcy poczty. Sprawa pokazuje, że deklaracje zgodności z RODO i certyfikat ISO/IEC 27001 nie zwalniają administratora z obowiązku kontroli podmiotu przetwarzającego.

UODO upomniał szpital i dostawcę poczty elektronicznej

Prezes Urzędu Ochrony Danych Osobowych udzielił upomnienia szpitalowi specjalistycznemu w Sosnowcu za niewystarczającą weryfikację podmiotu przetwarzającego oraz niewłaściwe przeprowadzenie analizy ryzyka związanej z wykorzystywaniem poczty elektronicznej.

Upomnienie otrzymał również zewnętrzny dostawca usługi pocztowej. UODO stwierdził, że procesor nie przeprowadził właściwej analizy ryzyka i nie wdrożył odpowiednich środków technicznych oraz organizacyjnych, które zapewniałyby bezpieczeństwo powierzonych danych osobowych.

Postępowanie było następstwem włamania do skrzynki pocztowej administratora. Osoba nieuprawniona pobrała całą zawartość poczty, w tym dane osobowe 224 osób.

Istota naruszenia ochrony danych

Do naruszenia doszło w 2021 r. Poczta elektroniczna szpitala była utrzymywana na serwerach zewnętrznego dostawcy. Osoba nieuprawniona uzyskała dostęp do konta pocztowego i pobrała jego zawartość. W skrzynce znajdowały się dane osobowe 224 osób.

Po otrzymaniu zgłoszenia naruszenia Prezes UODO zbadał sposób realizacji obowiązków zarówno przez administratora, jak i przez procesora. Postępowanie dotyczyło w szczególności:

  • wyboru i weryfikacji podmiotu przetwarzającego,
  • analizy ryzyka związanej z pocztą elektroniczną,
  • wdrożenia środków minimalizujących ryzyko,
  • bezpieczeństwa danych powierzonych zewnętrznemu dostawcy,
  • możliwości wykazania zgodności działań z RODO.

UODO stwierdził nieprawidłowości po obu stronach umowy powierzenia.

Certyfikat ISO nie zastępuje weryfikacji procesora

Podmiot przetwarzający deklarował, że stosuje środki bezpieczeństwa zgodne z RODO i posiada certyfikat ISO/IEC 27001 w zakresie bezpieczeństwa informacji. Zapewniał również, że wdrożone środki techniczne i organizacyjne są adekwatne do rodzaju powierzonych danych. Jednak takie zapewnienia wg UODO nie były wystarczające.

Administrator powinien samodzielnie ocenić, czy procesor rzeczywiście zapewnia wymagany poziom bezpieczeństwa. Nie może ograniczyć się do przyjęcia deklaracji dostawcy, informacji marketingowej, certyfikatu lub standardowego załącznika do umowy.

Certyfikat ISO może być jednym z dowodów potwierdzających poziom bezpieczeństwa, ale nie zastępuje oceny uwzględniającej:

  • zakres i kategorie powierzonych danych,
  • charakter świadczonej usługi,
  • zagrożenia związane z danym procesem,
  • stosowane mechanizmy uwierzytelniania,
  • zabezpieczenia przed przejęciem konta,
  • sposób wykonywania kopii zapasowych,
  • zasady zarządzania incydentami,
  • lokalizację danych i serwerów,
  • podprocesorów wykorzystywanych przez dostawcę,
  • możliwość przeprowadzenia audytu lub inspekcji.

W praktyce administrator powinien posiadać materialne dowody świadczące o tym, że dostawca został wybrany świadomie, z należytą starannością i po przeprowadzeniu oceny jego zabezpieczeń.

Błąd administratora

Z analizy sprawy wynika, iż szpital posiadał procedury umożliwiające sprawdzenie gwarancji deklarowanych przez dostawców. Dysponował między innymi polityką współpracy z dostawcami w zakresie bezpieczeństwa informacji oraz wymogiem szacowania ryzyka w określonych postępowaniach zakupowych. Jednak administrator nie zastosował własnych procedur przy wyborze dostawcy poczty. Nie przeprowadził zgodnej z RODO oceny, czy procesor rzeczywiście zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Nie zgromadził również wystarczających dowodów pozwalających wykazać, że dostawca został właściwie zweryfikowany.

Samo opracowanie polityki bezpieczeństwa, instrukcji lub formularza oceny dostawcy nie realizuje zasady rozliczalności wskazanej w RODO. Administrator musi wykazać, że procedura została zastosowana w odniesieniu do konkretnego procesora.

Analiza ryzyka poczty elektronicznej zbyt ogólna

Przed incydentem administrator przeprowadził analizę ryzyka dotyczącą między innymi zagrożeń mogących wystąpić podczas korzystania z poczty elektronicznej.

Analiza nie odnosiła się jednak wprost do zewnętrznego dostawcy usługi pocztowej. Nie uwzględniała zatem w wystarczającym stopniu ryzyk związanych z konkretnym modelem świadczenia usługi, infrastrukturą procesora i powierzaniem mu danych. Ponadto szpital nie wdrożył przed środków ograniczających ryzyko.

Analiza ryzyka powinna prowadzić do konkretnych decyzji dotyczących zabezpieczeń, terminów ich wdrożenia oraz osób odpowiedzialnych.

Jeżeli analiza wskazuje na możliwość przejęcia skrzynki pocztowej, administrator powinien rozważyć między innymi:

  • uwierzytelnianie wieloskładnikowe,
  • ograniczenie dostępu z nietypowych lokalizacji,
  • monitorowanie podejrzanych logowań,
  • zasady retencji i usuwania wiadomości,
  • szyfrowanie danych i załączników,
  • blokowanie starszych protokołów uwierzytelniania,
  • cykliczne przeglądy uprawnień,
  • szkolenia użytkowników,
  • procedury reagowania na przejęcie konta,
  • regularne testowanie skuteczności zabezpieczeń.

Interpretacja art. 28 ust. 1 RODO

Administrator może korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych - art. 28 ust. 1 RODO.

Przetwarzanie realizowane przez procesora powinno:

  • spełniać wymagania RODO,
  • zapewniać odpowiedni poziom bezpieczeństwa,
  • chronić prawa i wolności osób, których dane dotyczą.

Obowiązek administratora nie kończy się w chwili zawarcia umowy powierzenia. Weryfikacja powinna być prowadzona również w trakcie współpracy, w odpowiednich odstępach czasu oraz po wystąpieniu istotnych zmian.

Takimi zmianami mogą być na przykład:

  • zmiana infrastruktury usługodawcy,
  • migracja danych do chmury,
  • zaangażowanie nowego podprocesora,
  • zmiana lokalizacji przetwarzania,
  • rozszerzenie zakresu powierzonych danych,
  • incydent bezpieczeństwa,
  • zmiana stosowanych mechanizmów uwierzytelniania,
  • utrata lub wygaśnięcie certyfikatu.

Weryfikacja może mieć formę ankiety bezpieczeństwa, analizy dokumentacji, audytu zdalnego, kontroli na miejscu, testów, przeglądu raportów z audytów lub przedstawienia dowodów potwierdzających działanie zabezpieczeń.

Jakie dowody powinien zgromadzić administrator

Zasada rozliczalności wymaga nie tylko działania zgodnego z RODO, lecz także możliwości wykazania tej zgodności.

Administrator powinien przechowywać dokumentację potwierdzającą ocenę procesora. W zależności od charakteru usługi mogą to być:

  • wypełniony kwestionariusz oceny dostawcy,
  • analiza ryzyka powierzenia danych,
  • protokół wyboru procesora,
  • opis stosowanych środków technicznych i organizacyjnych,
  • raport z audytu lub inspekcji,
  • raport z testów bezpieczeństwa,
  • certyfikaty wraz ze sprawdzeniem ich zakresu i ważności,
  • informacje o podprocesorach,
  • procedura zgłaszania incydentów,
  • dowody wdrożenia uwierzytelniania wieloskładnikowego,
  • ustalenia dotyczące retencji i usuwania danych,
  • harmonogram ponownej oceny dostawcy,
  • korespondencja dotycząca usunięcia stwierdzonych niezgodności.

Zakres kontroli powinien być proporcjonalny do ryzyka. Innej weryfikacji może wymagać dostawca przetwarzający jedynie służbowe dane kontaktowe, a innej podmiot utrzymujący pocztę zawierającą informacje o zdrowiu pacjentów.

Procesor również musi analizować ryzyko

Obowiązek zapewnienia bezpieczeństwa nie spoczywa wyłącznie na administratorze. Podmiot przetwarzający powinien samodzielnie ocenić ryzyko związane ze świadczoną usługą i wdrożyć odpowiednie środki ochrony.

W omawianej sprawie UODO ustalił, że procesor nie przeprowadzał analizy ryzyka dotyczącej bezpieczeństwa powierzonych danych osobowych. Oznacza to, że dostawca nie był w stanie odpowiednio wykazać, dlaczego zastosowane zabezpieczenia są adekwatne do zagrożeń. Samo ogólne zapewnienie o zgodności z RODO nie są wystarczające.

Procesor powinien w szczególności:

  • identyfikować zagrożenia dotyczące świadczonej usługi,
  • oceniać prawdopodobieństwo i skutki naruszeń,
  • wdrażać środki odpowiadające poziomowi ryzyka,
  • regularnie testować skuteczność zabezpieczeń,
  • aktualizować analizę po zmianach technicznych lub incydentach,
  • informować administratora o istotnych ryzykach,
  • udostępniać dowody niezbędne do oceny zgodności.

Dlaczego UODO zastosował upomnienie, a nie karę pieniężną

Prezes UODO uznał, że w danej sprawie wystarczające będzie upomnienie dla szpitala. Wzięto pod uwagę fakt, iż przed podpisaniem umowy powierzenia ustalił wykaz środków bezpieczeństwa, które miały chronić powierzone dane. Naruszenie nie wynikało więc z całkowitego braku działań, lecz z ich niewystarczającego zakresu i nieskutecznego stosowania procedur. Organ nadzorczy uwzględnił również:

  • świadomość popełnionych zaniedbań,
  • podjęcie działań naprawczych,
  • ograniczenie ryzyka ponownego naruszenia,
  • zwiększenie poziomu bezpieczeństwa,
  • właściwe zaangażowanie inspektora ochrony danych.

W odniesieniu do procesora UODO także wziął pod uwagę działania podjęte w celu poprawy bezpieczeństwa.

Lista kontrolna: Co administrator powinien zrobić w zakresie sprawdzenia podmiotu przetwarzającego 

Którzy dostawcy są podmiotami przetwarzającymi?

 

Jakie dane i kategorie osób zostały im powierzone?

 

Czy przed zawarciem umowy przeprowadzono ocenę dostawcy?

 

Czy administrator posiada dowody tej oceny?

 

Czy analiza ryzyka uwzględnia konkretną usługę i konkretnego procesora?

 

Czy wskazane środki bezpieczeństwa zostały faktycznie wdrożone?

 

Kiedy ostatnio ponownie oceniano dostawcę?

 

Czy umowa umożliwia przeprowadzenie audytu lub inspekcji?

 

Czy procesor przekazuje informacje o zmianach i podprocesorach?

 

Czy procedury bezpieczeństwa obejmują przejęcie konta pocztowego?

 

Szczególną uwagę należy poświęcić usługom, w ramach których przetwarzane są dane dotyczące zdrowia, dane finansowe, informacje o zatrudnieniu, dane dzieci oraz inne informacje mogące powodować wysokie ryzyko dla osób fizycznych.

 

 

Źródło: UODO, DKN.5131.12.2022

Anna Śmigulska-Wojciechowska

Autor: Anna Śmigulska-Wojciechowska

Prawnik specjalizujący się w prawie zamówień publicznych. Redaktor publikacji z zakresu zamówień publicznych. Autorka profesjonalnych publikacji poświęconych tematyce prawa zamówień publicznych.

WIDEOSZKOLENIA »

Warsztaty IOD w praktyce z Q&A
Najczęstsze pytania i odpowiedzi dotyczące zadań, praw i obowiązków Inspektora Ochrony Danych

Warsztaty IOD w praktyce z Q&A Najczęstsze pytania i odpowiedzi dotyczące zadań, praw i obowiązków Inspektora Ochrony Danych

Zapraszamy na webinar prowadzony w konwencji warsztatowej z wykorzystaniem praktycznych przykładów, pytań i odpowiedzi. Dedykowany jest zarówno do osób początkujących, rozpoczynających lub pełniących funkcję IOD od niedawna, jak również do osób pragnących ugruntować posiadaną wiedzę w zakresie odpowiedniego nadzoru przestrzegania zasad i przepisów z zakresu ochrony danych osobowych w organizacji. 

13.11.2025 czytaj więcej »

ZMIANY W PRAWIE »

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x