Podwykonawcy a RODO / UK GDPR
Jeśli prowadzisz firmę, a w celu jej poprawnego funkcjonowania korzystasz z innych podmiotów gospodarczych – podwykonawców (czy to w zakresie prowadzenia księgowości, czy IT, marketingu, usług kurierskich czy jakichkolwiek innych) – upewnij się, że Twój podwykonawca stosuje prawo ochrony danych osobowych i należycie dba o dane Twoich klientów.
Ta sama zasada, obowiązuje też w drugą stronę:
Jeśli świadczysz usługi księgowe, IT, kurierskie i inne, co powoduje, że przetwarzasz dane osobowe klientów – swoich klientów – upewnij się, że szanują oni zasady RODO / UK GDPR.
!Pamiętaj!
zgodnie z DOMNIEMANIEM WINY
w prawie ochrony danych
firmy przetwarzające dane nie zapłacą kary tylko,
jeśli udowodnią, że zrobiły wszystko aby poprawnie chronić dane
Dlaczego to jest ważne?
Zarówno na podmiocie administrującym jak i przetwarzającym ciąży odpowiedzialność za ewentualne naruszenia dotyczące danych osobowych. A może zdarzyć się i tak, że Twoja firma uczestniczy w obiegu danych osobowych, dba o nie, chroni, szkoli personel, stworzyła dokumentację itp. a podstawą wymierzenia Ci kary będzie jedynie zarzut przetwarzania danych w kooperacji z nielegalnym (z punktu widzenia GDPR) podmiotem trzecim.
Dla przykładu:
Francuski organ ochrony danych (CNIL) nałożył 27 stycznia 2021 na firmę (sklep internetowy) grzywnę w wysokości 150 000 EUR i jej podwykonawcę (firmę IT zarządzającą tą stroną internetową) w wysokości 75 000 EUR za niepodjęcie odpowiednich środków zaradczych przeciwko atakom hakerskim.
Od czerwca 2018 r. do stycznia 2020 r. Francuski organ ochrony danych (CNIL) otrzymał liczne powiadomienia o naruszeniu danych osobowych na stronie internetowej, na której miliony klientów robiły regularne zakupy.
Następnie CNIL przystąpił do zbadania firmy i podwykonawcy zarządzającego stroną internetową. Okazało się, że oficjalna strona internetowa firmy byla obiektem ataków hakerskich, polegających na wykorzystaniu niezaszyfrowanych osobistych identyfikatorów lub haseł w Internecie w celu uzyskania dostępu do kont osób, których dane dotyczą – za pomocą bootów rejestrujących.
Po pomyślnej autoryzacji na stronie internetowej osoby trzecie uzyskiwały dostęp do różnych informacji.
CNIL odkrył, że napastnicy byli w stanie uzyskać dostęp do nazwisk, imion, dat urodzenia, adresów e-mail, numerów kart lojalnościowych i salda, a także istotnych informacji dotyczących złożonych przez klientów zamówień.
Francuski organ ochrony danych zauważył, że zarówno firma, jak i jej podwykonawca nie wywiązali się ze swoich zobowiązań w zakresie utrzymania stałego bezpieczeństwa danych osobowych klientów zgodnie z art. 32 GDPR. Próbując rozwiązać ten problem, obie firmy bezskutecznie zaczęły budować narzędzie do walki z bootami rejestrującymi, co zajęło cały rok. Zignorowali oni natomiast wszelkie inne natychmiastowe środki zaradcze, które mogłyby mieć szybszy wpływ na zapobieganie i / lub łagodzenie dalszych ataków, a także negatywnego wpływu tych ataków na klientów.
W efekcie tego w okresie od marca 2018 r. Do lutego 2019 r. nieuprawnione osoby trzecie uzyskały dostęp do danych osobowych ponad 40.000 klientów serwisu.
Pamiętaj !
Zarówno administrator, współadministrator(zy) jak i podmiot(y) przetwarzający(e)
- ponoszą odpowiedzialność za naruszenie danych osobowych.
Co możesz zrobić aby jak najbardziej zabezpieczyć swoją firmę na przyszłość?
Po pierwsze – z każdym podmiotem trzecim zawieraj “umowę powierzenia przetwarzania” na piśmie.
Zanim jednak zawrzesz taką umowę powinieneś sprawdź czy aby na pewno Twój kooperant stosuje RODO/UK GDPR. Najlpiej do tego celu służyć będzie kwestionariusz zawierający zestaw pytań dotyczących procedur, dokumentów i zabezpieczeń zastosowanych w firmie zewnętrznej. Idealnie – jeśli chodzi o zasady RODO/UK GDPR – dopiero właśnie po absolutnym upewnieniu się, że podmiot, z którym chcemy zawrzeć współpracę jest godny zaufania – powinno nastąpić podpisanie umowy.
Jeżeli boisz się, że stracisz klienta, jak zasypiesz go gradem pytań o jego zgodność z RODO/UK GDPR – przygotuj co najmniej list intencyjny, w którym opiszesz swoje RODO/UK GDPR i wyrazisz opinię, że rozpoczęcie współpracy – oznaczać będzie z jego strony akceptację tych samych standardów (choć jest to dalekie od ideału).
