Odpowiedzialność administratora danych za niszczenie danych – dlaczego to ADO ponosi konsekwencje

Wielu administratorów danych osobowych (ADO) zakłada, że jeśli zlecają zniszczenie dokumentów firmie zewnętrznej, to odpowiedzialność za dalsze losy danych osobowych przechodzi na wykonawcę. Niestety – to błędne przekonanie. RODO jasno wskazuje, że odpowiedzialność nie kończy się na podpisaniu umowy powierzenia przetwarzania.

Kto odpowiada za dane – nawet po ich zniszczeniu?

Zgodnie z art. 5 ust. 2 RODO, to administrator danych odpowiada za przestrzeganie zasad przetwarzania danych osobowych – w tym za ich bezpieczeństwo oraz prawidłowe i terminowe usunięcie – i musi być w stanie wykazać zgodność z tymi zasadami (zasada rozliczalności).

Jeśli zlecają Państwo, firmie zewnętrznej zniszczenie dokumentów, nadal jesteście Państwo odpowiedzialni za to, aby dane zostały faktycznie zniszczone zgodnie z przepisami.

Co się stanie, jeśli podmiot zewnętrzny popełni błąd?

Przykład z życia: firma utylizacyjna odbiera dokumenty zawierające dane osobowe, ale nie dochowuje procedur – dokumenty trafiają do niewłaściwego pojemnika lub zostają znalezione na wysypisku. Dochodzi do wycieku danych osobowych.

Odpowiedzialność ponosi przede wszystkim administrator danych - to on odpowiada za wybór procesora oraz za cały cykl życia danych, aż do ich bezpiecznego zniszczenia (art. 5 ust. 2 RODO – zasada rozliczalności).
Może zostać nałożona kara administracyjna przez UODO, zgodnie z art. 83 RODO – nawet do 10 mln euro lub 2% rocznego światowego obrotu.
Możliwe są roszczenia odszkodowawcze osób, których dane wyciekły – art. 82 RODO przewiduje prawo do uzyskania odszkodowania za szkodę materialną lub niematerialną.

Ubezpieczenia OC kontraktowo - deliktowe firm nie obejmują szkód związanych z wyciekiem danych osobowych – większość polis nie przewiduje takiego ryzyka, a ubezpieczenia cyber lub RODO to osobne produkty, często pomijane przez mniejsze firmy (również nie ma gwarancji, że obejmą)

Administrator może dochodzić roszczenia regresowego wobec wykonawcy, jeśli szkoda powstała z jego winy ale jest to trudne, szczególnie gdy:
- Umowa powierzenia została niedbale sporządzona,
- Brak jest dowodów na winę procesora,
- Nie uwzględniono odpowiedzialności umownej lub zabezpieczeń finansowych.

Jak wyzerować ryzyko? Wystarczy dochować należytej staranności

Zgodnie z art. 82 ust. 3 RODO, administrator danych osobowych nie ponosi odpowiedzialności za szkodę, jeżeli udowodni, że w żaden sposób nie ponosi winy za jej powstanie – innymi słowy, dołożył należytej staranności przy przetwarzaniu danych.

W praktyce oznacza to konkretne działania po stronie ADO, takie jak:

Zawarcie prawidłowej umowy powierzenia przetwarzania danych z wykonawcą (zgodnej z art. 28 RODO), zawierającej konkretne obowiązki, odpowiedzialność, procedury niszczenia i obowiązki dokumentacyjne.
Wybór rzetelnego procesora, nie na podstawie ceny czy opinii w Internecie, ale w oparciu o realną ocenę ryzyka i weryfikację zabezpieczeń (audyt, referencje, polityka bezpieczeństwa, personel, systemy IT).
Dokumentowanie działań – protokoły zniszczenia danych, nagrania procesu, potwierdzenia przyjęcia dokumentów, raporty z audytów, kontrola realizacji umowy.
Wdrożenie procedur wewnętrznych dotyczących niszczenia danych – określenie odpowiedzialnych osób, zasad przekazywania dokumentów do zniszczenia, procedury reakcji na incydenty.

Uwaga na złudne poczucie bezpieczeństwa
W każdej branży funkcjonują mity i skróty myślowe, które mogą uśpić czujność – również w obszarze ochrony danych osobowych. Popularne twierdzenia, które mogą wprowadzać w błąd, to:

„Przecież firma miała certyfikat ISO…”
„Wyświetliła się wysoko w Google, więc chyba dobra…”
„Miała dobre opinie w internecie…”
„Byli ubezpieczeni – co może się stać?”

To nie są wystarczające przesłanki, by uznać, że podmiot spełnia wymagania RODO. Certyfikaty mogą być nieaktualne lub niewiążące, dobre opinie nie zastąpią audytu, a standardowe ubezpieczenie OC rzadko obejmuje odpowiedzialność za naruszenia ochrony danych osobowych.

Cena nie powinna być jedynym kryterium wyboru wykonawcy

Zbyt często decydującym czynnikiem przy wyborze podmiotu niszczącego dane jest cena, a nie zabezpieczenia, jakie oferuje. To krótkowzroczne podejście może skutkować poważnymi stratami wizerunkowymi i finansowymi.