Outsourcing przetwarzania danych osobowych

Katarzyna Pośpiech-Białas Controlling i Rachunkowość Zarządcza 11/2018 nr 11 z dnia 2018-11-01
CiRZ_230_20.jpg
Od dnia wejścia w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”), przedsiębiorstwa decydujące się na powierzanie przetwarzania danych osobowych firmom outsourcingowym muszą legitymować się odpowiednio dostosowanymi procedurami w tym zakresie.

Przykładem sytuacji, w których będziemy mieli do czynienia z powierzeniem przetwarzania danych osobowych, jest między innymi outsourcing usług wsparcia IT, usług kadrowo-księgowych czy usług archiwizacji dokumentacji.

Regulacje prawne powierzenia danych osobowych

Na gruncie dotychczas obowiązującej ustawy o ochronie danych osobowych (tj. z dnia 13 czerwca 2016 r., Dz. U. z 2016 r., poz. 922, dalej: „UODO”) kwestia powierzenia danych osobowych została dość lakonicznie uregulowana w art. 31, wskazując, że administrator danych może powierzyć przetwarzanie danych innemu podmiotowi w drodze umowy zawartej na piśmie. Ustawa nie zawiera szczegółowych wymagań, wedle których następować ma powierzenie przetwarzania danych, nie precyzuje także, jakie minimalne postanowienia taka umowa powinna zawierać. W praktyce bardzo często podmioty, między którymi dochodziło do powierzenia przetwarzania danych, nie zawierały żadnych umów, a jeśli tak, to treść zawartych w nich postanowień kształtowana była dowolnie. Ogólne rozporządzenie o ochronie danych osobowych do przetwarzania danych podeszło w sposób bardziej kompleksowy i znacząco rozszerzyło zakres podstawowych zapisów, które muszą znaleźć się w umowie powierzenia przetwarzania danych. Rozporządzenie wskazało podmioty, które mogą przetwarzać dane osobowe, a nadto gwarancje, jakie musi spełniać podmiot przetwarzający, aby administrator mógł zawrzeć z nim umowę powierzenia przetwarzania danych (dalej: „Umowa powierzenia”). Można przypuszczać, że głównym motywem towarzyszącym ustawodawcy przy formułowaniu unijnych przepisów o ochronie danych było wyeliminowanie z obrotu gospodarczego sytuacji, w których administrator byłby pozbawiony wpływu na wykorzystanie danych bez jego wiedzy i woli. Osoba, której dane dotyczą, powinna mieć pewność, że jej dane są powierzane podmiotom spełniającym takie same gwarancje, jakie musi spełniać administrator danych. Rozporządzenie bowiem znacznie rozszerzyło odpowiedzialność podmiotu przetwarzającego także wtedy, gdy dojdzie do dalszego powierzenia danych (podpowierzenia).

Forma umowy

W myśl rozporządzenia umowa powierzenia może przybrać formę pisemną, w tym także elektroniczną. Podkreślić należy, że zgodnie z obowiązującymi przepisami prawa równoważne formie pisemnej jest także oświadczenie złożone w postaci elektronicznej, opatrzone bezpiecznym podpisem elektronicznym, który wywołuje takie same skutki jak podpis własnoręczny.

Działania, które musi podjąć administrator

Analizując problematykę powierzenia danych osobowych, działania administratora danych, który ma zamiar powierzyć przetwarzanie danych podmiotowi przetwarzającemu (zdefiniowanemu przez RODO jako osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora), sprowadzają się do podjęcia przez niego dwojakiego rodzaju kroków:

  1. wstępnej weryfikacji podmiotu, któremu ma zamiar powierzyć dane osobowe;
  2. zawarcia umowy powierzenia danych osobowych.

Zgodnie z art. 28 ust. 1 RODO administrator odpowiada za właściwy wybór podmiotu powierzającego, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO oraz chroniło prawa osób, których dane dotyczą. Weryfikacja podmiotu powinna obejmować ocenę podmiotu w zakresie między innymi jego wiedzy, wiarygodności, możliwości wdrożenia odpowiednich środków zabezpieczających, a wszystko to oczywiście w odniesieniu do danych osobowych. To, w jaki sposób administrator dokona takiej weryfikacji, pozostawione jest jego uznaniu. W praktyce można zaobserwować, iż administratorzy danych stosują karty pytań kontrolnych, na które podmiot przetwarzający zobowiązany jest udzielić odpowiedzi, czy też zbierają informacje podczas dokonywanego audytu bezpośrednio w podmiocie przetwarzającym. Zwykle pytania kontrolne dotyczą stosowanych przez podmiot środków technicznych i organizacyjnych. Pamiętać należy, że odpowiedzi na dane pytania udzielać należy, uwzględniając stan wiedzy technicznej, koszt wdrażania określonych środków oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia (art. 32 RODO). Dla każdego podmiotu inne będą zatem parametry uwzględniane przy udzielaniu odpowiedzi. Nie można też z góry zakładać, że brak danego zabezpieczenia będzie ze strony administratora wykluczał zawarcie umowy powierzenia.

Umowa o powierzenie danych

Po dokonaniu wstępnej weryfikacji administrator, chcąc powierzyć dane osobowe, zobowiązany jest do zawarcia stosownej umowy z podmiotem przetwarzającym dane. RODO podpowiada, jakie elementy powinna zawierać umowa powierzenia danych (art. 28 ust. 3 RODO). Oczywiście dopuszczalne jest wpisanie w takiej umowie innych dodatkowych postanowień, ważne jest jednak, aby były one w zgodzie z wymaganą przez przepisy RODO minimalną treścią, jaką umowa powinna zawierać.

Do podstawowych wymogów, jakie powinna spełniać umowa powierzenia, można zaliczyć:

  1. określenie, jakie dane zostają powierzone,
  2. określenie zakresu powierzenia,
  3. wskazanie celu przetwarzania,
  4. określenie czasu trwania przetwarzania,
  5. określenie charakteru przetwarzania,
  6. wskazanie kategorii osób, których dane dotyczą oraz rodzaju danych osobowych powierzonych do przetwarzania,
  7. wyszczególnienie praw i obowiązków administratora oraz podmiotu przetwarzającego dane osobowe.

Dostęp możliwy dla zalogowanych użytkowników serwisu. Jeśli posiadasz aktywny abonament przejdź do LOGOWANIA. Aby dobrać najkorzystniejszy plan abonamentowy przejdź do ZAMÓWIENIA ABONAMENTU.

Zaloguj Zamów abonament

    Źródło: Controlling i Rachunkowość Zarządcza 11/2018

Drukuj

Zobacz również

Filtruj artykuły wg.