Společnost McDonald dostala v Polsku pokutu v přepočtu 100 milionů Kč za únik osobních údajů zaměstnanců. Primární chyba ale byla na straně dodavatele.
Polský McDonald oznámil místnímu dozorovému úřadu, že došlo k porušení zabezpečení osobních údajů. Na veřejně dostupném serveru se ocitl dokument obsahující osobní údaje zaměstnanců a franšízantů v rozsahu:
Jméno a příjmení
Národní identifikační číslo nebo číslo pasu
Místo výkonu práce (konkrétní pobočka nebo franšíza)
Odpracované hodiny za konkrétní dny, čerpání dovolené atd.
HR data přístupná všem...
Jak k tomu došlo? Začněme od začátku: McDonald Polsko využíval služeb dodavatele, společnosti 24/7 Communication, která pro něj zajišťovala služby v oblasti public relations. V rámci této činnosti dodavatel provozoval tzv. grafický modul pro zaměstnance. Součástí dat, se kterými grafický modul pracoval, byla právě data o zaměstanncích a franšízantech.
Modul běžel na serveru správce, společnosti McDonald, ale spravoval jej dodavatel. A to včetně bezpečnostního nastavení, řízení přístupu, zabezpečení atd. Správce nemohl tento modul nastavovat sám a ani o to zpracovatele nežádal.
Ukázalo se, že správce svému dodavateli důvěřoval až moc. Firma 24/7 Communication technicky špatně nastavila přístupy k datům zaměstnanců a franšízantů a tím je zpřístupnila dalším neoprávněným příjemcům. Společnosti McDonald Polsko tak způsobila těžké chvilky s místním dozorovým úřadem, které skončilo stomilionovou pokutou.
Nedostatečná kontrola dodavatele
Chyba, špatné technické nastavení, nastala u dodavatele. Pokutu ale dostal správce údajů, tedy polský McDonald. Proč? Dozorový úřad mu vyčetl, že:
Neprovedl kontrolu dodavatele zaměřenou na zabezpečení osobních údajů
Nedostatečně identifikoval rizika spojená s tímto zpracováním dat
Neověřoval bezpečnostní opatření zavedená dodavatelem.
Do zpracování nezapojil svého pověřence (DPO)
V kostce řečeno, subjektem, který je primárně odpovědný za soulad zpracování osobních údajů s právními požadavky, je správce údajů. Ten je odpovědný i za výběr, ověření a kontrolu dodavatelů, kteří se na zpracování osobních údajů podílejí, tedy zpracovatelů. Pokud v celém cyklu zpracování osobních údajů dojde k chybě, například k úniku osobních údajů, odpovědnost jde za správcem osobních údajů.
Jak posílit pozici správce údajů? Pomohou audity a certifikace!
Správce je odpovědný za zpracování údajů, pro které stanovil účel (cíl) a prostředky zpracování. To je jistě pravda a platí to i tehdy, když do zpracování zapojí jednoho či více zpracovatelů.
Jak tedy posílit pozici správce a snížit riziko, že kvůli chybě některého dodavatele nebo subdodavatele dostane pokutu, bude čelit žalobě za náhradu způsobené újmy a dalším reputačním problémům?
V zásadě můžeme postupovat tak, jak indikoval i polský úřad:
Provést kontrolu dodavatele, který by měl mít přístup k osobním údajům, zaměřenou i na jeho interní systém pro zajištění bezpečnosti dat.
Posoudit rizika spojená s každým zpracováním dat a zavést opatření k jejich snížení.
Všechny požadavky na opatření, součinnost při kontrole i pravidla pro případné zapojení subdodavatelů popsat ve smlouvě.
Funkčnost a dostatečnost bezpečnostních opatření v praxi pravidelně kontrolovat a ověřovat. To platí i v případě, kdy zpracování probíhá v prostředí či v ICT nástroji zpracovatele.
Zapojit do přípravy zpracování a vyhodnocení jeho rizik i pověřence pro ochranu osobních údajů, pokud u správce funguje.
Zní to jako hodně práce. A v praxi to také hodně práce vyžaduje. Může si to správce usnadnit, ideálně jinak, než že bude požadavky na kontrolu zpracovatelů ignorovat?
Ano, určitě může. Do velké míry lze využít nástroje a postupy pro nezávislé ověření stavu zabezpečení osobních údajů od třetích stran. Ať už jde o audit (před navázáním vztahu s dodavatele či v jeho průběhu, například po bezpečnostním incidentu, nebo o certifikaci systému pro zpracování a ochranu dat, například ISO řady 27000. Tyto nástroje lze využít zejména tam, kde správce sám nemá kapacitu nebo znalost, aby řešení u dodavatele ověřil sám, ale zároveň se jedná o rizikovější zpracování, které by si bližší pohled zasloužilo.
Ani certifikace, audity a podobné nástroje nejsou samospasitelné. Základní cvičení musí provést vždy správce: Vyhodnotit si, jak moc je pro něj konkrétní zpracování nebo zapojení určitého dodavatele rizikové, včetně z pohledu možného porušení GDPR. A na základě této alespoň základní úvahy se rozhodnout, jak postupovat dál, zda bude vyžadovat certifikaci, doložení konkrétních technických či organizačních opatření, nebo zda je nezbytná hloubková kontrola či audit.
