Umowy konserwacyjne systemów zabezpieczeń a RODO
Piotr Świderski
Słowo „pandemia” odmieniane jest dzisiaj przez wszystkie przypadki. Widzimy, jak znaczący wpływ wywarła na naszą branżę, m.in. umożliwiła pracę hybrydową. Obecnie chyba już nikt nie wyobraża sobie świadczenia pracy tylko w biurze. Należy jednak pamiętać, że w naszych firmach pozostały m.in. elektroniczne systemy zabezpieczeń, które tym bardziej muszą działać niezawodnie, ponieważ osoby nadzorujące te obszary nie muszą być fizycznie obecne w danym pomieszczeniu. Jednym z kluczowych elementów utrzymania systemów zabezpieczeń w sprawności jest ich regularne sprawdzanie przez wykwalifikowanych pracowników technicznych. A jeśli mamy do czynienia z serwisem świadczonym cyklicznie, należy sporządzić umowę.
Większość z nas zdążyła się już przyzwyczaić, że RODO zakrada się prawie do każdego obszaru bezpieczeństwa. Nie inaczej jest z umowami na konserwacje systemów zabezpieczeń. W artykule przedstawię elementy związane z wymaganiami RODO w umowach serwisowych. Każda umowa powinna być sprawdzona przez dział, który w danej firmie zajmuje się obszarem danych osobowych.
Omówię przypadek, kiedy to my jesteśmy właścicielami odseparowanych elektronicznych systemów zabezpieczeń, co oznacza, że urządzenia należą do nas i są zainstalowane na naszej powierzchni. W takiej sytuacji najczęściej w bazie systemu kontroli dostępu (SKD) wprowadzamy użytkownika, definiując go odpowiednio imieniem i nazwiskiem oraz często dodatkowymi parametrami (stanowisko, dział, numer ID itd.). Tworzymy więc bazę z danymi osobowymi.
W systemach dozoru wizyjnego CCTV z kolei rejestrujemy obraz. Często głównym celem rejestracji jest wykorzystanie zapisanego materiału wizyjnego do identyfikacji osób, czyli niestety znowu dochodzą dane osobowe. Dlatego powierzając konserwację systemów bezpieczeństwa firmie zewnętrznej, musimy nadać jej dostęp do danych osobowych.
W związku z tym umowę o konserwację systemów bezpieczeństwa powinniśmy uzupełnić o umowę powierzenia lub inny instrument prawny, który zawierałby niezbędne elementy kształtujące stosunek powierzenia przetwarzania danych osobowych. Jest to wymóg wynikający z Ogólnego rozporządzenia o ochronie danych osobowych (art. 28 ust. 3 RODO).
Aktualizuje się wówczas, gdy administrator danych (w tym przypadku my, jako właściciele zainstalowanych systemów) korzysta z usług podmiotu przetwarzającego, tj. podmiotu, który przetwarza dane osobowe w imieniu administratora (czyli firma świadcząca usługę konserwacji systemu).
W przypadku korzystania z usług serwisowania systemów monitoringu CCTV i kontroli dostępu dochodzi do przetwarzania danych osobowych przez firmę serwisową. Przetwarzanie bowiem, zgodnie z definicją Ogólnego rozporządzenia o ochronie danych
(art. 4 pkt. 2 RODO), jest bardzo szeroko zdefiniowane i oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawie danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, tj. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
W związku z tym, korzystając z usług firmy, której zlecamy wykonanie czynności serwisowych systemu monitoringu wizyjnego CCTV czy KD, dajemy pracownikowi podmiotu trzeciego dostęp (tymczasowy) do danych osobowych, umożliwiając w ten sposób ich przetwarzanie. To determinuje stosunek powierzenia przetwarzania danych osobowych, który nie jest stosunkiem kreowanym umownie, lecz wynika z okoliczności faktycznych stanowiących proces przetwarzania danych osobowych.
Powinniśmy sprawdzić, czy firma serwisująca, która będzie świadczyła wymienione usługi, zagwarantuje w umowie należyte wdrożenie technicznych i organizacyjnych środków mających zapewnić bezpieczeństwo powierzenia danych osobowych. W przeciwnym razie spowoduje to naruszenie Ogólnego rozporządzenia o ochronie danych
(art. 28 ust. 1 RODO) poprzez powierzenie danych podmiotowi, który wdrożenia takich mechanizmów nie gwarantuje. Obowiązkiem administratora danych jest weryfikacja podmiotu, któremu dane powierza, i zapewnienie przez ten podmiot adekwatnych środków ich ochrony.
Należy też sprawdzić, czy dostawca posiada odpowiednie procedury opisujące, co należy wykonać podczas wystąpienia incydentu bezpieczeństwa (naruszenia ochrony danych osobowych), i czy administrator ma gwarancję, że zostanie o tym fakcie poinformowany w czasie wymaganym przepisami RODO. W przeciwnym razie może nastąpić naruszenie Ogólnego rozporządzenia o ochronie danych (art. 33 ust. 1 i 2 RODO) poprzez brak możliwości zgłoszenia naruszenia do organu nadzorczego w przewidzianym przepisami czasie (72 godziny od momentu stwierdzenia naruszenia) – brak notyfikacji w określonym czasie naraża naszą firmę bezpośrednio na karę.
W najbliższym czasie zapewne nie uciekniemy od tematyki RODO, dlatego warto się z nią zapoznać bliżej. Podczas projektowania systemu zabezpieczeń trzeba od razu planować, jakie dane będą w nim przechowywane i kto będzie miał do nich dostęp, a także tworzyć odpowiednie procedury, które określą m.in. postępowanie w przypadku wycieku danych osobowych lub ich utraty. Tych samych standardów powinno się też wymagać od firm, które wykonują konserwacje systemów, w przeciwnym razie można narazić się na nieprzyjemności i duże kary. Mam nadzieję, że ta wiedza pozwoli przybliżyć tematykę RODO.
|