Przekazujesz dane do chmury? Sprawdź, w jakim zakresie odpowiesz za ich wyciek

Przede wszystkim w razie wycieku danych lub innego ich naruszenia to administrator powinien zawiadomić o tym naruszeniu osobę, której dane dotyczą, bez zbędnej zwłoki, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby. Informacja ta powinna  umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych, (art. 34 ust. 1 RODO).

Odpowiedzialność za prawidłowość przetwarzania danych spoczywa na administratorze danych. W razie wycieku lub innego naruszenia ochrony danych to administrator może zostać pociągnięty do odpowiedzialności (w tym wobec osób trzecich).

Zgodnie z art. 82 ust. 1 RODO że  każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać odszkodowanie za poniesioną szkodę zarówno od administratora jak i podmiotu przetwarzającego.

Tym samym każdy administrator uczestniczący w przetwarzaniu może odpowiadać za szkody spowodowane przetwarzaniem naruszającym  RODO.

Natomiast podmiot przetwarzający ponosi odpowiedzialność odszkodowawczą za szkody spowodowane przetwarzaniem wyłącznie wówczas, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

Podmiot przetwarzający nie poniesie natomiast odpowiedzialności za szkodę wywołaną naruszeniem obowiązków administratora.

Czy powyższe oznacza, że administrator może ponosić odpowiedzialność za ewentualne naruszenia przepisów RODO, które wystąpią po stronie podmiotu przetwarzającego? Nie jest to wykluczone. Z drugiej strony administrator ma szanse na uwolnienie się od odpowiedzialności, jeżeli udowodni, że w żaden sposób nie ponosi winy za zdarzenia, które doprowadziło do powstania szkody (art. 82 ust. 3 RODO). To samo uprawnienie przysługuje zresztą podmiotowi przetwarzającemu.

Jeżeli więc wyciek lub inne naruszenie nastąpiło po stronie dostawcy usługi chmurowej, to administrator może uwolnić się od odpowiedzialności za to naruszenie. Z drugiej strony może odpowiadać np. za to, kogo wybrał na dostawcę usług chmurowych. Wszak administrator odpowiedzialny jest za wybór podmiotu przetwarzającego. Powinien on bowiem korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 RODO).

Jeżeli bowiem w tym samym przetwarzaniu uczestniczy zarówno administrator jak i podmiot przetwarzający i odpowiadają za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania (art. 82 ust. 4 RODO).

Z tego względu w umowiepowierzenia przetwarzania danych (albo w umowie o świadczenie usług chmurowych, jeżeli ma ona zawierać zapisy dotyczące powierzenia przetwarzania danych) tak istotne jest uregulowanie zagadnień dotyczących bezpieczeństwa danych. Umowa ta zgodnie z art. 28 ust. 3 RODO powinna obligować podmiot przetwarzający do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, przy uwzględnieniu stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania.

Nie ulega wątpliwości, że brak takich zapisów w umowie, a tym bardziej brak zapisów dotyczących powierzenia danych, stanowi okoliczność obciążającą administratora danych osobowych.

Dostawca usługi chmurowej jako podmiot przetwarzający może ponieść odpowiedzialność nie tylko względem podmiotu, którego dane były przedmiotem naruszenia ochrony, ale także względem swojego kontrahenta czyli administratora danych. Jest to tzw. odpowiedzialność regresowa, tj. za szkodę, jaką poniósł administrator w wyniku naruszenia ochrony danych, za które odpowiada podmiot przetwarzający.

W związku z tym warto zwracać uwagę na treść umowy powierzenia przetwarzania danych. Administrator powinien unikać dostawców, którzy proponują zawarcie umowy ograniczającej ich odpowiedzialność za naruszenie do określonej kwoty. Zapisy takie nie mają bowiem znaczenia z punktu widzenia osób, których dane zostały naruszone, ale jak najbardziej wiążą administratora i podmiot przetwarzający, co może być niekorzystne finansowo dla ADO.

Zarówno administrator danych osobowych odpowiadają nie tylko przed podmiotami danych, ale również przed Prezesem Urzędu Ochrony Danych Osobowych. Wszak Prezes UODO może przeprowadzać kontrolę prawidłowości przetwarzania danych i nakładać administracyjne kary pieniężne, jeżeli uzna, że przetwarzanie danych jest niezgodne z RODO. Jeśli zatem Prezes UODO uzna, że naruszenie przepisów wystąpiło po stronie podmiotu przetwarzającego, wówczas może nałożyć karę na ten podmiot. Jeżeli zaś dostrzeże nieprawidłowości po stronie administratora danych osobowych, wówczas może nałożyć karę także na administratora.

Administrator przekazujący dane osobowe do chmury musi liczyć się z ryzykiem wymierzenia kary pieniężnej przez Prezesa UODO zwłaszcza w przypadku gdy:

• wybierze dostawcę chmurowego, który nie zapewnia odpowiednich warunków bezpieczeństwa przetwarzanych danych osobowych,
• zawrze z dostawcą chmurowym umowę, która nie zawiera wszystkich elementów wymaganych przez RODO.