Liczba procesów biznesowych, jakie właściciele projektów nieruchomościowych powierzają podmiotom zewnętrznym ciągle wzrasta. Zarządzanie budynkiem, obsługa księgowa, ochrona czy marketing to obszary, za które odpowiedzialne są wyspecjalizowane firmy.
Wykonywanie czynności związanych z obsługą umów najmu i umów serwisowych jest nieodłącznie związane z przetwarzaniem danych osobowych. Stosowanie monitoringu wizyjnego na terenie obiektu handlowego i parkingu oraz obsługa techniczna to kolejne obszary, które mogą zakładać przetwarzanie danych osobowych przez podmiot zewnętrzny w imieniu właściciela nieruchomości.
Przy wyborze usługodawcy bierze się najczęściej pod uwagę kryteria takie jak kompetencje, doświadczenie czy warunki finansowe. Jednakże w obecnym otoczeniu regulacyjno-prawnym nie mniej ważna jest zgodność prowadzonej działalności z RODO. Zaniedbanie w tym zakresie może skutkować karami finansowymi. Dotychczas najwyższa w Polsce kara pieniężna za naruszenie ochrony danych osobowych sięgnęła blisko 3 mln złotych.
Audyt podmiotu przetwarzającego
Przed zleceniem prac nowemu usługodawcy właściciel budynku powinien sprawdzić, czy zapewnia on odpowiedni poziom ochrony danych osobowych. Jest to nie tylko dobra praktyka, ale także obowiązek administratora (a właściciel budynku co do zasady jest administratorem), który wynika z art. 28 ust. 1 RODO. Zgodnie z tym przepisem:
Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
Takie sprawdzenie może przybrać formę audytu, który powinien poprzedzać nawiązanie współpracy (zawarcie umowy). Zakres czynności wchodzących w zakres audytu i jego szczegółowość powinny być adekwatne do rodzaju powierzanych danych i skali ich przetwarzania. Dlatego – bardzo częste w codziennej praktyce – poleganie wyłącznie na oświadczeniu kontrahenta, bez żadnej formy weryfikacji, może być niewystarczające. Zwłaszcza, gdy zamierzamy powierzyć temu podmiotowi dane szczególnie chronione (np. dotyczące zdrowia osób poszkodowanych w wypadkach na terenie centrum handlowego) lub czynów zabronionych (np. kradzieży zarejestrowanych przez kamery monitoringu wizyjnego). Naruszenie ochrony tych danych, np. przez ich ujawnienie osobom nieuprawnionym, może skutkować surowszą odpowiedzialnością administratora.
Odporność na ataki cybernetyczne
Niezależnie od obszaru, w którym działa nasz potencjalny usługodawca, jest niemal pewne, że będzie on przetwarzać dane osobowe w systemach informatycznych i co najmniej jeden z tych systemów będzie podłączony do Internetu.
Obecnie to właśnie z sieci Internet pochodzi najwięcej zagrożeń dla danych osobowych. Chodzi nie tylko o wirusy komputerowe, ale także ataki socjotechniczne skierowane w pracowników lub szkodliwe oprogramowanie, w szczególności typu ransomware.
W ostatnich latach obserwujemy znaczny wzrost skali ataków, których celem jest zaszyfrowanie danych w celu wymuszenia okupu. Tendencja ta nasiliła się jeszcze bardziej w okresie pandemii koronawirusa SARS-CoV-2. Ofiarami takich przestępstw komputerowych stają się często firmy, które są podmiotami przetwarzającymi dane osobowe w imieniu swoich klientów – administratorów danych.
Aby atak okazał się skuteczny a właściciel budynku ponosił ryzyko odpowiedzialności wynikającej z RODO wystarczy niepozorna luka w zabezpieczeniach systemów zarządcy, firmy ochroniarskiej lub operatora parkingu. Albo nawet brak systematycznej aktualizacji oprogramowania.
Administrator przetwarzający dane osobowe w dużej skali (np. właściciel galerii handlowej) i korzystający z usług wielu podmiotów przetwarzających do obsługi swoich procesów biznesowych, to dane osobowe narażone są na wyższe ryzyko. Wynika to z faktu, że krążą one w rozproszonej infrastrukturze informatycznej. Znajdują się w różnych systemach, bazach, aplikacjach i programach do przetwarzania danych, z których każdy może stać się potencjalnym celem ataku cybernetycznego. A system zawsze jest tak odporny, jak jego najsłabsze ogniwo.
Hakerzy często biorą za cel instytucje finansowe i firmy telekomunikacyjne. Jednak poziom świadomości poziomu ryzyk i potencjalnej odpowiedzialności w związku z ewentualnym wyciekiem lub utratą danych jest wysoki, dlatego stosują one wysoki poziom zabezpieczeń.
Gorzej, jeżeli chcemy nawiązać współpracę z partnerem, u którego świadomość znaczenia ochrony danych osobowych, w tym możliwych konsekwencji jej naruszenia, jest niska. Dlatego przed nawiązaniem współpracy warto ustalić, w jaki sposób zabezpieczy on dane, które mu ujawnimy. Należy również sprawdzić, czy dba on o świadomość personelu w tym obszarze.
Szyfrowanie danych, stosowanie pseudonimizacji, wykonywanie kopii zapasowych, procedury ciągłości działania czy szkolenia pracowników w zakresie RODO i cyberbezpieczeństwa to przykłady działań, które istotnie wpływają na podniesienia bezpieczeństwa danych.
Personel i procedury podmiotu przetwarzającego
RODO określa zakres obowiązków podmiotu przetwarzającego dane osobowe, które należy uwzględnić w umowie powierzenia przetwarzania danych osobowych. Obejmują one m.in. zachowanie danych w poufności, stosowanie odpowiednich zabezpieczeń i współpracę z administratorem.
Jednak oprócz posiadania zapewnień umownych warto zweryfikować, czy nasz potencjalny kontrahent dysponuje wykwalifikowanym personelem i odpowiednimi procedurami, które zapewnią sprawną bieżącą współpracę w sprawach dotyczących powierzonych do przetwarzania danych. Dotyczy to, w szczególności, obszarów takich jak realizacja praw osób, których dane dotyczą i postępowanie w razie naruszenia ochrony danych osobowych.
Aby nie ryzykować kary pieniężnej nakładanej przez organ stojący na straży przestrzegania RODO, właściciel budynku powinien znać terminy wynikające w RODO i zapewnić, aby współpraca z podmiotem przetwarzającym była na tyle sprawna, aby nie prowadziła do ich przekroczenia.
Skuteczne procedury dotyczące postępowania w przypadku podejrzenia naruszenia ochrony danych osobowych są bardzo istotne w kontekście obowiązku zgłoszenia naruszenia do organu nadzorczego w terminie zaledwie 72 godzin od stwierdzenia naruszenia oraz zawiadomienia o naruszeniu osób, których dane dotyczą. Obowiązki te ciążą na właścicielu budynku (jako administratorze) nawet w sytuacji, gdy pełną odpowiedzialność za naruszenie ochrony danych ponosi podmiot przetwarzający.
W ramach planu postępowania z ryzykiem administrator może zdecydować się na transfer ryzyka na podmiot przetwarzający, ale należy pamiętać, że takie ograniczenie lub wyłączenie odpowiedzialności administratora odnosi skutek wyłącznie w relacji pomiędzy tymi podmiotami i nie jest wiążące dla organu nadzorczego. W efekcie zawarcie bardzo surowej dla wykonawcy usług umowy i przerzucenie na niego obowiązków wynikających z RODO może być rozwiązaniem wygodnym dla właściciela budynku rozwiązaniem, jednak nie umożliwi mu „umycia rąk” w stosunku do organu ścigającego naruszenia RODO.
Ruchome piaski
Decydując się na powierzenie przetwarzania danych osobowych warto wziąć pod uwagę kilka czynników, które zwykle są pomijane lub schodzą na dalszy plan. Tymczasem mogą one znacząco wpływać na bezpieczeństwo współpracy z punktu widzenia RODO.
Po pierwsze warto ustalić, czy nasz przyszły kontrahent wyznaczył inspektora ochrony danych (IOD). Osoba ta może być punktem kontaktowym dla administratora w zakresie przetwarzania powierzonych danych oraz nadzorować funkcjonowanie procedur z tym związanych. Sam fakt wyznaczenia IOD jest sygnałem, że dana organizacja ma świadomość znaczenia RODO.
W przypadku, gdy kontrahent nie wyznaczył IOD, należy zadbać o wskazanie przez kontrahenta, kto będzie bezpośrednio odpowiedzialny za kontakt i bieżącą współpracę z administratorem w obszarze przetwarzania danych osobowych. W przeciwnym wypadku istnieje ryzyko, że nikt nie będzie czuć się odpowiedzialny za wykonywania zadań z tego zakresu, a my sami nie będziemy wiedzieć, do kogo się zwrócić, np. w razie konieczności współpracy przy obsłudze żądania osobę, której dane dotyczą.
Po drugie, warto wziąć pod uwagę siedzibę i skalę działalności przyszłego kontrahenta. Wybór dostawcy zagranicznego, który obsługuje jednocześnie dziesiątki tysięcy międzynarodowych klientów, może nie być optymalny z punktu widzenia współpracy w obszarze ochrony przetwarzanych danych. Nawet najlepsza umowa powierzenia na niewiele się zda, jeżeli obsługa indywidualnych żądań lub poleceń, które skierowaliśmy, będzie trwać kilka tygodni.
W przypadku dostawców zagranicznych należy sprawdzić, czy zapewniają oni punkt kontaktowy przeznaczony dla klientów z naszego kraju lub obszaru geograficznego.
Powyższe nie oznacza oczywiście, że dostawcy krajowi będą zawsze lepsi pod względem bieżącej współpracy w obszarze ochrony danych. Jednak zaangażowanie podmiotu zagranicznego powinno być poprzedzone dodatkową analizą i refleksją w tym zakresie. Sprawdzenie referencji przyszłego kontrahenta z pewnością również nie zaszkodzi.
Przetwarzanie danych w chmurze i udział „subprocesorów”
W wielu sektorach (w tym w świecie nieruchomości komercyjnych) obserwujemy stałą tendencję do przechodzenie na rozwiązania chmurowe. Proces ten staje się na tyle powszechny, że możemy mówić o prawdziwej eksplozji chmury obliczeniowej.
Jeżeli nasz przyszły kontrahent będzie przetwarzać powierzone mu dane w chmurze (a będzie tak zawsze w przypadku, gdy korzysta z typowych rozwiązań biurowych typu Microsoft 365 i usług typu OneDrive albo usług chmurowych oferowanych przez Amazon Web Services), jako administrator danych powinniśmy o tym wiedzieć.
Zgodnie z RODO przypadki dalszego powierzenia przetwarzania danych osobowych, co często ma miejsce przy korzystaniu z rozwiązań chmurowych, wymagają ogólnej lub szczegółowej zgody administratora. W przypadku, gdy podmiot przetwarzający lub jego podwykonawca przetwarzają dane osobowe poza EOG, np. na terytorium USA, znajdą ponadto zastosowanie dodatkowe obowiązki wynikające z Rozdziału V RODO dotyczące międzynarodowego transferu danych.
Wnioski końcowe
Przekazywanie danych podmiotowi przetwarzającemu jest obszarem podwyższonego ryzyka dla danych osobowych. Jeszcze przed nawiązaniem współpracy z nowym kontrahentem właściciel budynku (jako administrator) powinien sprawdzić, czy ryzyko to nie będzie nadmierne.
Czas poświęcony na rzetelną ocenę zaprocentuje w przyszłości w postaci niższego ryzyka naruszenia ochrony danych i potencjalnej odpowiedzialności administratora za zdarzenia zawinione przez kontrahenta, w tym administracyjnej kary pieniężnej, a także strat wizerunkowych.
Jeżeli sprawdzenie potencjalnego kontrahenta przebiegło pozytywnie, to warto upewnić się, że wiążąca nas z nim umowa powierzenia przetwarzania danych osobowych zawiera wszystkie ważne elementy, w szczególności obowiązki dotyczące zapewnienia przez ten podmiot odpowiednio wysokiego poziomu ochrony danych i współpracy z administratorem.
Dopiero dysponując taką umową powierzenia przetwarzania danych osobowych, można bezpiecznie przekazywać kontrahentowi dane dla celów związanych z usługami, które świadczy / będzie świadczyć na naszą rzecz w ramach obsługi danego procesu biznesowego.
Autorem artykułu jest jest adw. Michał Kalata. Tekst ukazał się na łamach Dziennika Rzeczpospolita 19 stycznia 2022 r.
Powrót do bloga