Symfonia. Biznes gotowy na zmiany

Outsourcing przetwarzania danych osobowych zgodnie z RODO

Tomasz Mamys

Tomasz Mamys

Lider Zespołu Technicznego wsparcia sprzedaży

Długość czytania:

23 marca 2018

Przekazywanie przetwarzania danych osobowych firmom zewnętrznym to codzienność nie tylko dużych firm i korporacji, ale także wielu małych i średnich przedsiębiorstw. O czym musimy pamiętać przy wyborze outsourcingu usług przetwarzania danych osobowych? Jak zmieni się sytuacja firm powierzających przetwarzanie tych danych innym podmiotom pod rządami rozporządzenia RODO? Oto porady, jak przygotować firmę do nowych regulacji i na co zwracać uwagę przy podpisywaniu umów z podmiotami zewnętrznymi.

Od 25 maja 2018 r., czyli dnia rozpoczęcia egzekucji prawnej RODO, każde przedsiębiorstwo, które decyduje się na outsourcing usług, których elementem realizacji będzie przetwarzanie danych osobowych, ale i każda firma takie usługi realizująca, będą musiały spełnić szereg wymagań zgodności z RODO.

Powierzenie przetwarzania danych osobowych – co to takiego?

Z powierzeniem przetwarzania danych osobowych przez przedsiębiorstwo – administratora danych osobowych (ADO) – mamy do czynienia wówczas, gdy w ramach zlecenia określonych czynności następuje przekazanie danych osobowych w celu ich przetwarzania przez partnera biznesowego.

Takimi czynnościami może być zlecenie obsługi m.in.: prawnej, personalnej, kadrowej/płacowej, rekrutacji, marketingowej, sprzedażowej informatycznej. Bardzo często nawet nie zdajemy sobie sprawy z tego, że podmiot realizujący na naszą rzecz usługi w ramach prowadzonej działalności uzyskuje dostęp do naszych danych osobowych. Gdy tak się dzieje, jest on zobowiązany do przestrzegania właściwych przepisów w zakresie ochrony danych osobowych.

Ale uwaga! Odpowiedzialność procesora wobec administratora za wypełnienie obowiązków, jakie wziął na siebie poprzez zawarcie z nim umowy, nie może zostać wyłączona poprzez zawarcie umowy o dalszym powierzeniu danych do przetwarzania. Jeżeli inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność za to obciąży procesora, który zawarł umowę z ADO.

RODO: komu powierzyć przetwarzanie danych osobowych?

Możliwość współpracy Administratora Danych Osobowych z procesorem – podmiotem, któremu chcemy powierzyć przetwarzanie danych – RODO uzależnia od zapewnienia przez taki podmiot wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, tak by było to zgodne z wymogami przewidzianymi w rozporządzeniu, a także chroniło prawa osób, których dane dotyczą (art. 28 RODO). Obecnie, pod rządami polskiej Ustawy o ochronie danych osobowych (UODO), w celu powierzenia przetwarzania danych osobowych przez administratora danych podmioty korzystające z możliwości przewidzianej w art. 31 UODO zawierają umowy o przetwarzanie danych osobowych w formie pisemnej bądź elektronicznej, opatrzonej bezpiecznym podpisem elektronicznym.

Jak skonstruować umowę powierzenia danych?

Czy wspomniana powyżej umowa będzie wystarczająca po 25 maja? Nie – stare umowy powierzenia danych powinny zostać zweryfikowane i co najmniej aneksowane.

Jak zarządzać firmą w sytuacji kryzysowej?

RODO znacząco rozszerza zakres podstawowych zapisów, które będą musiały się znaleźć w umowie powierzenia danych. Treść umowy o powierzeniu danych do przetwarzania powinna zawierać: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Przygotowując umowę o powierzenie przetwarzania danych osobowych z podmiotem zewnętrznym, pamiętaj, by zawarły się w niej obowiązkowe klauzule na podstawie art. 28.3 RODO.

Podmiot przetwarzający dane osobowe ma obowiązek:

  • przetwarzać dane osobowe wyłącznie na udokumentowane polecenie administratora danych (co dotyczy też ewentualnego przekazywania danych osobowych do państwa trzeciego, chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający – w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny);
  • zapewnić, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
  • podejmować wszelkie środki wymagane na mocy art. 32 RODO;
  • przestrzegać warunków korzystania z usług innego podmiotu przetwarzającego (podwykonawcy);
  • biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomagać administratorowi danych poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO;
  • uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi danych wywiązać się z obowiązków określonych w art. 32–36 RODO;
  • po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora danych usunąć lub zwrócić mu wszelkie dane osobowe oraz usunąć wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują dalsze przechowywanie tych danych osobowych; udostępnić administratorowi danych wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwić administratorowi lub audytorowi upoważnionemu przez administratora danych przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

To minimalny katalog warunków, jakie powinna zawierać umowa, na mocy której następuje powierzenie przetwarzania danych osobowych.

Ważne: zarówno w interesie ADO, jak i procesora, a przede wszystkim osób, których dane są powierzane do przetwarzania, jest to, by w jak najbardziej pełny sposób określić wzajemne regulacje umowne dotyczące przetwarzanych danych. W procesie zawierania umowy bardzo ważnym elementem jest również podjęcie działań mających na celu sprawdzenie, czy podmiot, z którym ADO chce zawrzeć umowę powierzenia danych, zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

Podpowierzenie – czy pojawi się nowa usługa?

Dotychczas UODO milczy na temat podpowierzenia przetwarzania danych osobowych. Czym właściwie jest podpowierzenie? Mamy z nim do czynienia wówczas, gdy podmiot przetwarzający dane osobowe przekazane przez ADO nie przetwarza tych danych samodzielnie (albo nie tylko samodzielnie), ponieważ korzysta z usług podwykonawców. Tego rodzaju sytuacja została przewidziana w RODO. W art. 28 ust. 2 rozporządzenia doprecyzowano, że powierzając przetwarzanie danych podmiotowi przetwarzającemu, należy zabezpieczyć się na wypadek podpowierzenia tego rodzaju działalności innym podmiotom.

Dlatego w umowie powierzenia należy zawrzeć następujące klauzule:

  • jeśli podmiot przetwarzający zamierza korzystać z podwykonawców w zakresie przetwarzania danych, musi poinformować o tym ADO;
  • konieczne będzie również uzyskanie zgody na podpowierzenie, a zgoda ta powinna zostać wyrażona w stosunku do konkretnego podwykonawcy;
  • ADO wyraża zgodę na podpowierzanie przetwarzania danych osobowych jedynie w sytuacji, w której uzyska informację o takim zamiarze podmiotu przetwarzającego z odpowiednim wyprzedzeniem, co pozwoli mu na wyrażenie ewentualnego sprzeciwu wobec korzystania z usług tego podwykonawcy.

RODO w UE i poza nią

RODO umożliwia przekazanie danych do państwa trzeciego*, o ile Komisja Europejska zaliczy dane państwo do państw zapewniających odpowiedni poziom ochrony. W pozostałych przypadkach dla legalnego przekazania danych do państwa trzeciego konieczne jest zapewnienie odpowiednich zabezpieczeń w postaci: wiążących reguł korporacyjnych, standardowych klauzul ochrony danych przyjętych przez Komisję, zatwierdzonych kodeksów postępowania lub mechanizmów certyfikacyjnych.

Takie przekazanie możliwe jest też za zgodą osoby, której dane dotyczą i jest niezbędne do wykonania umowy lub ustalenia, dochodzenia lub ochrony roszczeń (art. 49 RODO). ADO może powierzyć przetwarzanie danych osobowych podmiotom przesyłających dane poza UE. W takim przypadku podwykonawca mający siedzibę poza terytorium UE zobowiązany jest przestrzegać przepisów RODO w zakresie zarządzania danymi osobowymi. W przypadku transferu danych osobowych do państwa trzeciego trzeba zagwarantować odpowiedni poziom ochrony przekazywanych danych. Zasadniczą rolę pełnią w tym przypadku podmioty działające w UE a dokonujące dalszego powierzenia danych osobowych podmiotom spoza UE, które przed powierzeniem muszą zapewnić, że takie podmioty będą przetwarzać powierzane dane osobowe zgodnie z RODO.

* Regulacje w zakresie przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych zawarte są w rozdziale V, art. 44 – 50 RODO.

Przeglądaj tematy tego artykułu:

0 komentarzy

Wyślij komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Powiązane kategorie

Planowanie
długoterminowe

Planowanie
globalne

Procesy
biznesowe

Zgodność
z prawem

Słownik Symfonii

Prowadzenie firmy może być pełne wyzwań, a jednym z nich jest fachowy żargon, który trzeba rozumieć. Nasz słownik wyjaśnia pojęcia w prostych słowach – od A do Z.
Wyświetl słownik