Poradnik Przedsiębiorcy

Outsourcing danych osobowych, czyli podpowierzanie danych

Outsourcing, czyli powierzenie do wykonania innym podmiotom określonych funkcji realizowanych przez przedsiębiorcę, może dotyczyć również przetwarzania danych osobowych.  Outsourcing danych osobowych oznacza, że administrator danych (dalej ADO) może powierzyć innemu podmiotowi (podmiot przetwarzający, procesor) ich przetwarzanie w drodze umowy zawartej na piśmie. Na czym polega to powierzenie, w jakiej formie powinno być udzielone innemu podmiotowi, jakie wynikają z niego obowiązki dla obu stron oraz na kim spoczywa odpowiedzialność za przestrzeganie przepisów o ochronie danych osobowych?

Outsourcing - co to znaczy?

Na wstępie należy zaznaczyć, że powierzenie przetwarzania danych osobowych (outsourcing danych osobowych) to nie to samo, co udostępnienie tych danych. Udostępnianie, zgodnie z art. 4 pkt 2 RODO, jest jedną z operacji wykonywanych w ramach przetwarzania danych osobowych. Polega na przekazaniu informacji podmiotowi trzeciemu, wskutek czego podmiot ten może z nich korzystać wedle własnego uznania, stając się ich administratorem.

Podmiot przetwarzający oraz administrator danych osobowych, przy podpowierzaniu danych (outsorcingu) zobowiązani są, aby przestrzegać następujących warunków:

  • Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.
  • Podmiot przetwarzający, (procesor) może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
  • Procesor jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające dane osobowe
  • Odpowiedzialność za przestrzeganie przepisów spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

Zgodnie z powyższymi wytycznymi outsourcing danych:

  1. polega na ich przekazaniu przez administratora innemu podmiotowi,

  2. musi przyjąć formę umowy zawartej na piśmie,

  3. jego celem jest przetwarzanie danych na rzecz i w imieniu administratora, w zakresie i celu do jakiego sam jest uprawniony.

Procesor danych osobowych działa więc w tym przypadku jako zleceniobiorca i nie nabywa uprawnień ADO. Należy pamiętać, że administratorem jest organ, jednostka organizacyjna lub podmiot, który decyduje o celach oraz środkach przetwarzania danych. W momencie outsourcingu informacji osobowych podmiotowi trzeciemu nie ma on prawa podejmować żadnych wiążących i ostatecznych decyzji ani co do celu, ani co do sposobu przetwarzania tych danych - może działać wyłącznie w zakresie i celu przewidzianym w umowie, którą zawarł z ADO.

Jako że prawo do przetwarzania danych osobowych pochodzi bezpośrednio od administratora tych danych, powierzenie przetwarzania informacji osobowych innemu podmiotowi nie wymaga uzyskania zgody osoby, której dane są przetwarzane. Trzeba pamiętać, że w sytuacji, w której ADO utraci prawo do przetwarzania danych osobowych (np. zostanie wycofana zgoda osoby zainteresowanej), utraci je również podmiot, któremu powierzono przetwarzanie danych. 

Forma (pod)powierzenia przetwarzania danych osobowych

Przetwarzanie danych powinno być powierzone procesorowi w formie umowy zawartej na piśmie. W przepisach o ochronie danych osobowych ustawodawca nie sprecyzował, co powinno się w takiej umowie znaleźć, pozostawił więc stronom swobodę jej zawarcia. Strony treść umowy powinny sporządzić indywidualnie, dostosowując ją do konkretnego przypadku przetwarzania danych, uwzględniając gwarancje prawidłowego zabezpieczenia i przetwarzania danych osobowych.

Umowa na pewno powinna określać wszystkie szczegóły dotyczące powierzenia, czyli:

  1. zakres przetwarzania danych (określenie, jakie dane zostają przekazane zleceniobiorcy) oraz

  2. jasno określony cel przetwarzania danych, a także

  3. prawa i obowiązki zarówno administratora danych, jak i podmiotu, któremu powierzono przetwarzanie danych.

Procesor danych może przetwarzać je wyłącznie w zakresie i celu przewidzianym w umowie. Nie może wykorzystywać tych danych dla własnych celów lub interesów.

Powierzenie przetwarzania danych osobowych nie musi być zawarte w osobnej umowie. Nie ma przeszkód, aby zapisy dotyczące outsourcingu zostały zawarte w umowie podstawowej regulującej stosunek pomiędzy stronami, np. w umowie o świadczenie usług czy zlecenia, na podstawie których podmiot zewnętrzny uzyskuje dostęp do danych przetwarzanych przez administratora.

Powierzenie ma więc miejsce w przypadku:

  • hostingu stron internetowych, na których przechowywane są dane osobowe. Zawarcie umowy o outsourcing danych osobowych jest konieczne, jeśli ADO korzysta z serwera współdzielonego i hostingodawca może mieć dostęp do danych osobowych znajdujących się na serwerze. Zawarcie umowy co do zasady nie jest natomiast konieczne w przypadku korzystania z serwera dedykowanego, do którego dostęp ma tylko administrator, a firma hostingowa dostarcza jedynie łącze. Hostingodawca jest jednak zobowiązany do dostarczenia wykazu środków używanych do zabezpieczenia serwerów;

  • zlecenia obsługi księgowej - zbiory danych zostają powierzone do biura rachunkowego;

  • zlecenia obsługi kadrowo-płacowej - zbiory danych zostają powierzone odrębnej firmie zajmującej się świadczeniem usług kadrowo-płacowych;

  • zlecenie obsługi marketingowej - zlecenie działań marketingowych firmom zewnętrznym zajmującym się np. prowadzeniem kampanii reklamowych - jeśli działają na zbiorze danych osobowych konieczne jest podpisanie umowy powierzenia (np. zlecenie prowadzenia mailingu, zewnętrzna obsługa klienta);

  • zlecenie obsługi informatycznej - konieczne jest podpisanie umowy o powierzenie w sytuacji, kiedy firma ta ma jakikolwiek dostęp do danych zamieszczonych na komputerach administratora (przykładowo serwisowanie sprzętu komputerowego, na którym archiwizowane są dane osobowe);

  • zlecenie obsługi prawnej - np. wynajmowanie kancelarii, która zajmuje się obsługą prawną firmy administratora.

Jak widać, często relacja na linii administrator danych-procesor jest jedynie relacją dodatkową do stosunku podstawowego, łączącego oba podmioty. W takiej sytuacji zapisy dotyczące powierzenia mogą stanowić jedynie część umowy.

Uwaga!

Należy podkreślić, że outsourcing danych osobowych ma miejsce, kiedy dane te są powierzane podmiotowi trzeciemu, niezatrudnionemu u przedsiębiorcy. W sytuacji, kiedy przedsiębiorca zatrudnia księgową, kadrową, prawnika, informatyka, którzy zajmują się przetwarzaniem danych w ramach swojej pracy - nie jest to outsourcing danych osobowych.

Obowiązki administratora i procesora danych osobowych

Instytucja powierzenia przetwarzania danych osobowych pozwala administratorowi korzystać z wiedzy i doświadczenia podmiotów wyspecjalizowanych w świadczeniu różnych usług. Administrator Danych Osobowych, który jest odpowiedzialny za ochronę informacji osobowych, ma jednak obowiązek zadbać o to, aby podmiot, któremu powierza przetwarzanie danych, spełniał takie same wymogi, gwarancje i standardy, jakie na administratora nakładają przepisy o ochronie danych osobowych. 

Obowiązki:

  1. Podmiot, któremu powierzono przetwarzanie danych osobowych na podstawie umowy, ma obowiązek zastosowania odpowiednich środków technicznych i organizacyjnych gwarantujących ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. W szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

  2. Podmiot ten ma również obowiązek prowadzić dokumentację opisującą sposób przetwarzania danych oraz środki techniczne, o których była mowa powyżej.

  3. Może powołać administratora bezpieczeństwa informacji, chyba że sam wykonuje te czynności.

  4. Podmiot ten jest również obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

  5. Każdej z osób, która została dopuszczona do przetwarzania danych, podmiot powinien nadać indywidualne upoważnienie.

  6. Podmiot ten musi prowadzić ewidencję takich osób, która powinna zawierać imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych, a także identyfikator, jeśli dane są przetwarzane w systemie informatycznym. Osoby, które zostały upoważnione do przetwarzania danych, mają obowiązek zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.