Francusko nadzorno tijelo izreklo je administrativnu novčanu kaznu u iznosu od 150.000 EUR voditelju obrade i 75.000 EUR za njegovom izvršitelju obrade zbog neosiguravanja sigurnosnih i tehničkih mjera kojim bi se omogućila sigurnost podataka. Ovo je prvi put da francusko nadzorno tijelo izriče sankciju i voditelju obrade i njegovom izvršitelju zbog kršenja sigurnosnih mjera.

Trend kažnjavanja i voditelja i izvršitelja slijede i druga nadzorna tijela pa i hrvatsko.

Izvršitelji obrade moraju usvojiti tzv. ˝aktivan pristup˝ pri održavanju sigurnosnih standarda, ali i pri implementaciji GDPR-a, sve kako bi se pridržavali svojih obveza koje proizlaze iz važećih propisa.

Što se dogodilo?

Voditelj obrade (web shop) pretrpio je niz hakerskih napada na svom web mjestu.

Nadzorno tijelo je obavješteno o nekoliko desetaka kršenja podataka između lipnja 2018. i siječnja 2020. U tom je kontekstu nadzorno tijelo odlučilo provesti nadzor protiv vlasnika web shop-a kao voditelja obrade i njegovog izvršitelja koji je upravljao web platformom. Prema CNIL-u, stranke su kasnile s uspostavljanjem sigurnosnih mjera koje bi omogućile učinkovitu borbu protiv tih opetovanih hakerskih napada. Zapravo, trebala im je godina dana da razviju alat za blokiranje tih napada. U međuvremenu su hakeri mogli pristupiti osobnim podacima približno 40 000 kupaca (ispitanika).

CNIL je donio odluku da voditelj obrade i izvršitelj obrade nisu uspjeli u skladu s njihovim odgovarajućim obvezama osigurati adekvatnu razinu sigurnosnih i tehničkih standarda da bi se omogućila sigurnost ispitanika (članak 32. GDPR Uredbe). Prema CNIL-u ” voditelj obrade mora naložiti provedbu mjera i dati dokumentirane upute vezane uz obradu izvršitelju obrade, međutim izvršitelj obrade također mora omogućiti odgovarajuća tehnička i organizacijska rješenja kako bi se omogućila sigurnost osobnih podataka. ”

Zapravo, CNIL je jasno izrekao stav da izvršitelji obrade moraju igrati aktivnu ulogu u procjeni najprikladnijih sigurnosnih mjera i ne bi se trebali ograničiti samo na usvajanje sigurnosnih mjera koje odredi i naloži voditelj obrade.

Sigurnosne obveze nametnute voditeljima obrade podataka….

Prema GDPR-u, voditelji obrade moraju poštivati ​​opće načelo integriteta i povjerljivosti obrade podataka, kao i svih drugih obveza koje proizlaze iz GDPR-a. Moraju biti sposobni dokazati da su usvojili ” odgovarajuće tehničke i organizacijske mjere ” kako bi udovoljili zahtjevima GDPR-a (čl. 24), sve u skladu s načelom odgovornosti.

Voditelji obrade podataka također su dužni angažirati izvršitelje obrade koji pružaju ” dovoljna jamstva za provedbu odgovarajućih tehničkih i organizacijskih mjera ” za obradu, uključujući sigurnosne obveze (članak 28. stavak 1.). Ova se provjera najčešće provodi u sklopu dubinske analize odabranih izvršitelja kao i u sklopu redovnih audita izvršitelja obrade kako bi se provjeravali standardi i stupanj implementiranih mjera.

… ne oslobađajte izvršitelje obrade  sigurnosnih obveza koje oni moraju omogućiti

Članak 32. GDPR-a također nameće obveze zaštite podataka izravno izvršiteljima obrade podataka. Međutim, članak 32. ne objašnjava detaljno koje se sigurnosne mjere moraju primijeniti, prepuštajući voditelju obrade i izvršitelju da utvrde odgovarajuće mjere (tehničke, organizacijske, sigurnosne i sl.) za svaku aktivnost obrade.

Nadalje, ugovorom o obradi podataka sklopljenim između voditelja obrade i izvršitelja mora se propisati i da izvršitelj obrade mora poduzimati sve mjere potrebne u skladu s člankom 32. (vidi članak 28. stavak 3. točku (c) GDPR-a). Razina detalja sigurnosnih mjera razlikuje se od jednog do drugog ugovora o obradi podataka.

Ugovori o obradi i dijeljenju podataka ne mogu i ne smiju biti samo prepisane odredbe GDPR Uredbe.

Na kraju, izvršitelji obrade imaju dužnost pomagati voditeljima obrade da osiguraju poštivanje njihove obveze iz članka 32.(članak 28. stavak 3. točka (f) GDPR-a).

Jesu li izvršitelji obrade izloženi rizicima i sankcijama? Da.

Kršenje članka 32. GDPR-a može dovesti do administrativnih kazni. Odluka CNIL-a ne precizira koji su kriteriji korišteni za određivanje visine novčanih kazni koje su izrečene. No, odluka pokazuje koliko je važno za izvršitelje obrade da pregovaraju o jasnim uvjetima u svojim ugovorima sa svojim kupcima (uključujući vrste sigurnosnih mjera) i što se očekuje od njih u slučaju kršenja odredbi GDPR-a ili incidenta (povrede osobnih podataka). Kao i u bilo kojem ugovoru,  odredbe ne bi trebale biti općenite, već bi izvršiteljima trebalo nametnuti jasnu dužnost da pružaju pomoć voditeljima obrade u osiguravanju adekvatne razine sigurnosti i to u svakom trenutku te da voditelju obrade nudi praktična rješenja za otklanjanje rizika kada dođe do povrede podataka.

Što možemo zaključiti?

Ova odluka služi kao primjer da su izvršitelji obrade izloženi GDPR sankcijama jednako kao i voditelji obrade te da rizik ne leži u potpunosti na voditeljima obrade. Također je vrijedno napomenuti da je česta obavijest regulatora o višestrukim povredama podataka sve veći faktor rizika. U ovom je slučaju višestruka obavijest o kršenju podataka od strane voditelja obrade ono što je CNIL potaknulo na provođenje inspekcije.