Powierzając dane osobowe renomowanym firmom, takim jak Microsoft, nie trzeba ich dodatkowo weryfikować pod kątem bezpieczeństwa. Ten wyrok znacząco upraszcza życie przedsiębiorcom.
Do renomowanych firm można mieć zaufanie
Wiele firm korzystających na co dzień z takich usług jak poczta elektroniczna, wideokonferencje i cloud computing nawet nie zdaje sobie sprawy, że pod względem formalnym dokonuje powierzenia danych osobowych. To zaś zgodnie z RODO jest obwarowane wcale niemałymi obowiązkami. Niezbędne jest nie tylko zawarcie umowy, lecz także sprawdzenie procesora, bo tak zgodnie z RODO nazywana jest firma, której powierzono dane. Trzeba nie tylko sprawdzić, czy daje on wystarczające gwarancje bezpieczeństwa, lecz także zapewnić sobie możliwość przeprowadzenia audytu.
Sytuacja jest prosta, gdy administrator zawiera klasyczną umowę powierzenia danych, w której strony negocjują warunki i wspólnie ustalają treść kontraktu. W przypadku narzędzi dostarczanych przez big techy nie ma takiej możliwości - klient musi zaakceptować narzucone przez nie warunki. Wojewódzki Sąd Administracyjny w Warszawie potwierdził, że w przypadku renomowanych firm to w zupełności wystarczy.
- Wyrok nazwałbym przełomowym. W znaczący sposób upraszcza życie administratorom, którzy chcą powierzyć przetwarzanie danych. Sąd, a wcześniej prezes Urzędu Ochrony Danych Osobowych uznali, że do tak renomowanych firm jak Microsoft można mieć zaufanie i nie trzeba ich sprawdzać - komentuje dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński.
- To życiowe i jak najbardziej racjonalne podejście, bo oczywiste jest, że tego typu globalne korporacje nigdy nie zgodzą się na audyt ani narzucanie im dodatkowych postanowień. Oczywiste jest również, że z ich usług korzysta wielu odbiorców i nie przestaną tego robić. Po tym wyroku mogą spać spokojnie - dodaje.
Umowa bez negocjacji
Wyrok, którego uzasadnienie niedawno zostało opublikowane, dotyczy skargi na szkołę, która w czasie zdalnego nauczania wywołanego pandemią korzystała z Microsoft Teams. Rodzice jednej z uczennic uznali, że nie miała ona prawa powierzyć danych osobowych ich małoletniej córki firmie Microsoft. Domagali się nałożenia kary na placówkę. Prezes UODO odmówił, nie dopatrując się naruszenia prawa.
Sąd, do którego trafiła sprawa, w pełni zgodził się z jego stanowiskiem. Jeden z zarzutów dotyczył braku podstawy prawnej do powierzenia danych osobowych małoletniej uczennicy. Sąd uznał, że podstawę taką stanowiła umowa zawarta przez akceptację postanowień narzuconych przez Microsoft.
„Umowa z Microsoft Corporation na świadczenie usług online miała charakter standardowy i nie podlegała negocjacjom. W tej sytuacji szkoła, rozpoczynając korzystanie z usługi Microsoft Teams, miała zatem za zadanie odnotowanie, w celu rozliczalności procesu przetwarzania, tych czynności, jakie zostały dokonane w momencie uruchomienia usługi” - można przeczytać w uzasadnieniu wyroku z 19 kwietnia 2022 r. (sygn. akt II SA/Wa 2259/21).
Sąd przyznał, że zgodnie z przepisami administrator powinien przed zawarciem umowy sprawdzić, czy procesor spełnia wymogi wynikające z art. 28 RODO (patrz: ramka), przede wszystkim te dotyczące bezpieczeństwa. Jest bowiem zobowiązany do korzystania z usług jedynie firm, które gwarantują fachowość, wiarygodność oraz wdrożenie odpowiednich środków technicznych i organizacyjnych.
„Nie ulega wątpliwości, że powyższe warunki zostały w niniejszej sprawie spełnione, albowiem wybór przez szkołę platformy MS Teams prowadzonej przez profesjonalny podmiot, jakim jest renomowana Microsoft Corporation, która stanowić będzie w tym przypadku procesora, z całą pewnością gwarantuje stosowanie przez podmiot przetwarzający środków organizacyjnych i technicznych, o których mowa w art. 28 ust. 1 RODO” - podkreślono w uzasadnieniu.
Nie wszystkie firmy. Co z Facebookiem
W praktyce administrator danych musi jedynie odnotować zawarcie umowy i tyle. W przypadku renomowanych firm nie ma konieczności ich weryfikacji.
- Oczywiście otwarte pozostaje pytanie, których procesorów uznać za renomowanych. Intuicyjnie można by do nich zaliczyć globalne big techy, ale czy wszystkie? Jeśli w przeszłości dochodziło w nich do nieprawidłowości związanych z przetwarzaniem danych, administrator powinien zachować powściągliwość - zaznacza dr Paweł Litwiński.
Przykładem może tu być choćby głośna afera związana z Cambridge Analytica i wykorzystywaniem danych użytkowników Facebooka (dziś: Meta) do profilowania politycznego. Czy po niej wciąż można uznawać korporację Marka Zuckerberga za renomowaną i bezpieczną? Można mieć wątpliwości.
Z opisanego wyroku płynie jeszcze jeden ważny wniosek - sąd uznał, że samo kliknięcie akceptujące regulamin serwisu wystarczy do zawarcia umowy powierzenia. To o tyle istotne, że jego treść może zostać w każdej chwili jednostronnie zmieniona. Z orzeczenia nie wynika jednak żaden obowiązek zapewnienia jej integralności. Co równie ważne, nie ma też konieczności autoryzacji umowy przez procesora (np. przez podpis elektroniczny). Orzeczenie rozwiewa więc wątpliwości, które były podnoszone przez część prawników.
Zarówno UODO, jak i sąd uznali, że szkoła miała prawo powierzyć dane uczniów firmie Microsoft, korzystając z usługi Teams. Było to uzasadnione koniecznością realizowania obowiązku nauki w formie zdalnej w związku z pandemią. ©℗
/>