Czy RODO przewiduje automatyczną odpowiedzialność administratora danych osobowych za każdy błąd podmiotu przetwarzającego dane w jego imieniu? Na przykład za wyciek danych, do którego doszło wskutek błędu pracownika firmy informatycznej? Jeśli zlecający co do zasady zajmuje się czymś innym, więc nie ma pojęcia o robocie informatycznej, a nie można mu zarzucić niedopatrzeń w wyborze outsourcera? Czy jednak każdy z tych podmiotów sam odpowiada za swoje błędy?
nieprawomocny wyrok WSA w Warszawie z 5 października 2021 r. (II SA/Wa 528/21)
Dokonanie prawidłowego wyboru podmiotu przetwarzającego dane nie zwalnia administratora całkowicie z obowiązków związanych z przetwarzaniem danych i z odpowiedzialności za ich naruszenie. Nie pozwala jednak na egzekwowanie od administratora całej odpowiedzialności za naruszenie przepisów prawa prowadzących do naruszenia ochrony danych osobowych, powstałego z przyczyn leżących po stronie podmiotu przetwarzającego.
Orzeczenie dotyczyło decyzji, w której PUODO nałożył na administratora milionową karę za wyciek danych osobowych, do którego nastąpiło wskutek błędu pracownika podmiotu przetwarzającego (firmy IDFT), który po restarcie serwera nie zauważył błędów w konfiguracji firewalla (por. „Kara za wyciek danych osobowych z serwisu MoneyMan.pl”).
W skardze na tę decyzję ukarana spółka zwróciła uwagę, że zgodnie z RODO obowiązkiem administratora jest wybrać odpowiedniego procesora i go audytować, natomiast obowiązki w zakresie wdrożenia odpowiednich środków zabezpieczających dotyczą zarówno administratora jak i podmiotu przetwarzającego. Jako podmiot zajmujący się działalnością finansową po to wynajęła firmę informatyczną, żeby jej powierzyć wykonywanie takich usług, zatem nie powinna ponosić odpowiedzialności za błędy podwykonawcy.
z rozporządzenia o ochronie danych osobowych
art. 28 ust. 1. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
art. 32 ust. 1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (…)
Wojewódzki Sąd Administracyjny przyznał, iż co do zasady brak jest podstaw do twierdzenia, iż odpowiedzialność administratora za błąd podmiotu przetwarzającego ma charakter bezwzględny. Zasada jest raczej odwrotna: administrator odpowiada za swoje uchybienia, a podmiot przetwarzający odpowiada za własne naruszenia przepisów RODO.
Prawidłowa ocena sporu wymaga przypomnienia ról w przetwarzaniu danych osobowych: administrator ustala cele i sposoby przetwarzania danych osobowych, a podmiot przetwarzający przetwarza dane w imieniu administratora. RODO reguluje zarówno obowiązki administratora danych osobowych, ale też podmiotu przetwarzającego; szereg powinności dotyczy tylko jednego z tych podmiotów, część na siebie nachodzi, zaś część dotyczy tylko jednego z tych podmiotów.
art. 33 ust. 1-2 rozporządzenia o ochronie danych osobowych
1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki — w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia — zgłasza je organowi nadzorczemu (…)
2. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi.
Obowiązki w zakresie zapewnienia bezpieczeństwa przetwarzanych danych spoczywają zarówno na administratorze — ale też na podmiocie przetwarzającym (art. 32 ust. 1 RODO).
Odpowiedzialność administratora i podmiotu przetwarzającego za błąd skutkujący naruszeniem przepisów o przetwarzaniu danych osobowych nie jest ani solidarna, ani niezależna od tego, kto dopuścił się naruszenia — prawo wyraźnie przewiduje samoistną odpowiedzialność podmiotu przetwarzającego za naruszenie ciążących na nim obowiązków (art. 83 ust. 2 lit. d) czy art. 83 ust. 4 lit. a) RODO). W przypadku naruszenia ochrony danych osobowych obowiązkiem administratora jest zgłoszenie tego faktu organowi nadzorczemu, jeśli jednak dane przetwarza podmiot przetwarzający, jego obowiązkiem jest niezwłoczne powiadomienie administratora. Współgra z tym jeden z podstawowych obowiązków procesora — pomagania administratorowi w wywiązywaniu się z jego powinności („podmiot przetwarzający ma nie tylko własny obowiązek podjęcia działań zmierzających do niezwłocznego stwierdzenia naruszenia ochrony danych, ale jest również obowiązany do wspierania administratora w jego poczynaniach mających również na celu stwierdzenie naruszenia ochrony bez zbędnej zwłoki”, art. 28 ust. 3 lit. f) RODO).
Przekładając te uwagi na stan faktyczny WSA podkreślił, że ukaranie wyłącznie administratora za brak niezwłocznego zawiadomienia o wycieku danych może być usprawiedliwione, o ile naruszenie nie miało żadnego związku z działaniem lub zaniechaniem procesora. Tymczasem w sprawie nie ma wątpliwości, że do naruszenia doszło wskutek błędu pracownika firmy informatycznej, na co ukarana spółka nie miała najmniejszego wpływu — a przynajmniej PUODO nie wykazał czy mogła jakimikolwiek działaniami zapobiec temu błędowi i jego konsekwencjom. Nie można też nie dostrzegać, że zaraz po otrzymaniu wiadomości o problemach serwis MoneyMan.pl przekazał tę informację swemu procesorowi, który — dopiero po kilku monitach — ustalił, że do błędu w konfiguracji zapory sieciowej i błąd ten usunął (co ciekawe PUODO analizował możliwość pociągnięcia do odpowiedzialności firmy IDFT, ale w tym zakresie postępowanie zostało umorzone). Oznacza to, że „administrator danych nie posiadając organizacyjnych czy technicznych możliwości prawidłowego, zgodnego z wymogami prawnymi przetwarzania danych, powierzył te czynności innemu podmiotowi, wyspecjalizowanemu w tej materii. Niejako wyręczył się w tym zakresie podmiotem przetwarzającym”; nie można mu zarzucać zaniedbania na etapie wyboru procesora — nie można także zarzucić, iżby mógł zrobić więcej niż naciskać na podmiot przetwarzający, żeby dokładniej sprawdził informacje — zatem należy przyjąć, iż „naruszenie ochrony danych nastąpiło z przyczyn leżących po stronie podmiotu przetwarzającego”.
Stwierdzając, że nałożenie kary na administratora wynikało wyłącznie z czytania przepisów (które wszakże określają także odpowiedzialność podmiotu przetwarzającego za naruszenie przepisów RODO) — ale bez przyporządkowania związku przyczynowo-skutkowego pomiędzy działaniem administratora, a błędem pracownika firmy informatycznej i wyciekiem danych — WSA uchylił wydaną przez PUODO decyzję.