Outsourcing przetwarzania danych osobowych

Od dnia wejścia w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”), przedsiębiorstwa decydujące się na powierzanie przetwarzania danych osobowych firmom outsourcingowym muszą legitymować się odpowiednio dostosowanymi procedurami w tym zakresie.
CiRZ_230_20.jpg

Przykładem sytuacji, w których będziemy mieli do czynienia z powierzeniem przetwarzania danych osobowych, jest między innymi outsourcing usług wsparcia IT, usług kadrowo-księgowych czy usług archiwizacji dokumentacji.

Regulacje prawne powierzenia danych osobowych

Na gruncie dotychczas obowiązującej ustawy o ochronie danych osobowych (tj. z dnia 13 czerwca 2016 r., Dz. U. z 2016 r., poz. 922, dalej: „UODO”) kwestia powierzenia danych osobowych została dość lakonicznie uregulowana w art. 31, wskazując, że administrator danych może powierzyć przetwarzanie danych innemu podmiotowi w drodze umowy zawartej na piśmie. Ustawa nie zawiera szczegółowych wymagań, wedle których następować ma powierzenie przetwarzania danych, nie precyzuje także, jakie minimalne postanowienia taka umowa powinna zawierać. W praktyce bardzo często podmioty, między którymi dochodziło do powierzenia przetwarzania danych, nie zawierały żadnych umów, a jeśli tak, to treść zawartych w nich postanowień kształtowana była dowolnie. Ogólne rozporządzenie o ochronie danych osobowych do przetwarzania danych podeszło w sposób bardziej kompleksowy i znacząco rozszerzyło zakres podstawowych zapisów, które muszą znaleźć się w umowie powierzenia przetwarzania danych. Rozporządzenie wskazało podmioty, które mogą przetwarzać dane osobowe, a nadto gwarancje, jakie musi spełniać podmiot przetwarzający, aby administrator mógł zawrzeć z nim umowę powierzenia przetwarzania danych (dalej: „Umowa powierzenia”). Można przypuszczać, że głównym motywem towarzyszącym ustawodawcy przy formułowaniu unijnych przepisów o ochronie danych było wyeliminowanie z obrotu gospodarczego sytuacji, w których administrator byłby pozbawiony wpływu na wykorzystanie danych bez jego wiedzy i woli. Osoba, której dane dotyczą, powinna mieć pewność, że jej dane są powierzane podmiotom spełniającym takie same gwarancje, jakie musi spełniać administrator danych. Rozporządzenie bowiem znacznie rozszerzyło odpowiedzialność podmiotu przetwarzającego także wtedy, gdy dojdzie do dalszego powierzenia danych (podpowierzenia).

Forma umowy

W myśl rozporządzenia umowa powierzenia może przybrać formę pisemną, w tym także elektroniczną. Podkreślić należy, że zgodnie z obowiązującymi przepisami prawa równoważne formie pisemnej jest także oświadczenie złożone w postaci elektronicznej, opatrzone bezpiecznym podpisem elektronicznym, który wywołuje takie same skutki jak podpis własnoręczny.

Działania, które musi podjąć administrator

Analizując problematykę powierzenia danych osobowych, działania administratora danych, który ma zamiar powierzyć przetwarzanie danych podmiotowi przetwarzającemu (zdefiniowanemu przez RODO jako osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora), sprowadzają się do podjęcia przez niego dwojakiego rodzaju kroków:

  1. wstępnej weryfikacji podmiotu, któremu ma zamiar powierzyć dane osobowe;
  2. zawarcia umowy powierzenia danych osobowych.

Zgodnie z art. 28 ust. 1 RODO administrator odpowiada za właściwy wybór podmiotu powierzającego, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO oraz chroniło prawa osób, których dane dotyczą. Weryfikacja podmiotu powinna obejmować ocenę podmiotu w zakresie między innymi jego wiedzy, wiarygodności, możliwości wdrożenia odpowiednich środków zabezpieczających, a wszystko to oczywiście w odniesieniu do danych osobowych. To, w jaki sposób administrator dokona takiej weryfikacji, pozostawione jest jego uznaniu. W praktyce można zaobserwować, iż administratorzy danych stosują karty pytań kontrolnych, na które podmiot przetwarzający zobowiązany jest udzielić odpowiedzi, czy też zbierają informacje podczas dokonywanego audytu bezpośrednio w podmiocie przetwarzającym. Zwykle pytania kontrolne dotyczą stosowanych przez podmiot środków technicznych i organizacyjnych. Pamiętać należy, że odpowiedzi na dane pytania udzielać należy, uwzględniając stan wiedzy technicznej, koszt wdrażania określonych środków oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia (art. 32 RODO). Dla każdego podmiotu inne będą zatem parametry uwzględniane przy udzielaniu odpowiedzi. Nie można też z góry zakładać, że brak danego zabezpieczenia będzie ze strony administratora wykluczał zawarcie umowy powierzenia.

Umowa o powierzenie danych

Po dokonaniu wstępnej weryfikacji administrator, chcąc powierzyć dane osobowe, zobowiązany jest do zawarcia stosownej umowy z podmiotem przetwarzającym dane. RODO podpowiada, jakie elementy powinna zawierać umowa powierzenia danych (art. 28 ust. 3 RODO). Oczywiście dopuszczalne jest wpisanie w takiej umowie innych dodatkowych postanowień, ważne jest jednak, aby były one w zgodzie z wymaganą przez przepisy RODO minimalną treścią, jaką umowa powinna zawierać.

Do podstawowych wymogów, jakie powinna spełniać umowa powierzenia, można zaliczyć:

  1. określenie, jakie dane zostają powierzone,
  2. określenie zakresu powierzenia,
  3. wskazanie celu przetwarzania,
  4. określenie czasu trwania przetwarzania,
  5. określenie charakteru przetwarzania,
  6. wskazanie kategorii osób, których dane dotyczą oraz rodzaju danych osobowych powierzonych do przetwarzania,
  7. wyszczególnienie praw i obowiązków administratora oraz podmiotu przetwarzającego dane osobowe.

Wykorzystałeś swój limit bezpłatnych treści

Pozostałe 61% artykułu dostępne jest dla zalogowanych użytkowników portalu. Zaloguj się, wybierz plan abonamentowy albo kup dostęp do artykułu/dokumentu.

Kilka wariantów prenumeraty Pokaż opcje
Dwutygodniowy dostęp bez zobowiązań Wybieram

Abonament już od 100 zł miesięcznie

Dwutygodniowy dostęp bez zobowiązań

Pełen dostęp do wszystkich treści portalu
to koszt 100 zł miesięcznie
przy jednorazowej płatności za rok

WYBIERAM

Dwutygodniowy dostęp do wszystkich treści
portalu za 99 zł netto, które odliczymy od ceny
regularnej przy przedłużeniu abonamentu

WYBIERAM

Pełen dostęp do wszystkich treści portalu
to koszt 100 zł miesięcznie
przy jednorazowej płatności za rok

Dwutygodniowy dostęp do wszystkich treści
portalu za 99 zł netto, które odliczymy od ceny
regularnej przy przedłużeniu abonamentu

WYBIERAM

Polityka cookies

Dalsze aktywne korzystanie z Serwisu (przeglądanie treści, zamknięcie komunikatu, kliknięcie w odnośniki na stronie) bez zmian ustawień prywatności, wyrażasz zgodę na przetwarzanie danych osobowych przez EXPLANATOR oraz partnerów w celu realizacji usług, zgodnie z Polityką prywatności. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.

Usługa Cel użycia Włączone
Pliki cookies niezbędne do funkcjonowania strony Nie możesz wyłączyć tych plików cookies, ponieważ są one niezbędne by strona działała prawidłowo. W ramach tych plików cookies zapisywane są również zdefiniowane przez Ciebie ustawienia cookies. TAK
Pliki cookies analityczne Pliki cookies umożliwiające zbieranie informacji o sposobie korzystania przez użytkownika ze strony internetowej w celu optymalizacji jej funkcjonowania, oraz dostosowania do oczekiwań użytkownika. Informacje zebrane przez te pliki nie identyfikują żadnego konkretnego użytkownika.
Pliki cookies marketingowe Pliki cookies umożliwiające wyświetlanie użytkownikowi treści marketingowych dostosowanych do jego preferencji, oraz kierowanie do niego powiadomień o ofertach marketingowych odpowiadających jego zainteresowaniom, obejmujących informacje dotyczące produktów i usług administratora strony i podmiotów trzecich. Jeśli zdecydujesz się usunąć lub wyłączyć te pliki cookie, reklamy nadal będą wyświetlane, ale mogą one nie być odpowiednie dla Ciebie.