Outsourcing przetwarzania danych osobowych zgodnie z RODO

4 min czytania

Przekazywanie przetwarzania danych osobowych firmom zewnętrznym to codzienność nie tylko dużych firm i korporacji, ale także wielu małych i średnich przedsiębiorstw. O czym musimy pamiętać przy wyborze outsourcingu usług przetwarzania danych osobowych? Jak zmieni się sytuacja firm powierzających przetwarzanie tych danych innym podmiotom pod rządami rozporządzenia RODO? Oto porady, jak przygotować firmę do nowych regulacji i na co zwracać uwagę przy podpisywaniu umów z podmiotami zewnętrznymi.

Od 25 maja 2018 r., czyli dnia rozpoczęcia egzekucji prawnej RODO, każde przedsiębiorstwo, które decyduje się na outsourcing usług, których elementem realizacji będzie przetwarzanie danych osobowych, ale i każda firma takie usługi realizująca, będą musiały spełnić szereg wymagań zgodności z RODO.

Powierzenie przetwarzania danych osobowych – co to takiego?

Z powierzeniem przetwarzania danych osobowych przez przedsiębiorstwo – administratora danych osobowych (ADO) – mamy do czynienia wówczas, gdy w ramach zlecenia określonych czynności następuje przekazanie danych osobowych w celu ich przetwarzania przez partnera biznesowego.

Takimi czynnościami może być zlecenie obsługi m.in.: prawnej, personalnej, kadrowej/płacowej, rekrutacji, marketingowej, sprzedażowej informatycznej. Bardzo często nawet nie zdajemy sobie sprawy z tego, że podmiot realizujący na naszą rzecz usługi w ramach prowadzonej działalności uzyskuje dostęp do naszych danych osobowych. Gdy tak się dzieje, jest on zobowiązany do przestrzegania właściwych przepisów w zakresie ochrony danych osobowych.

Ale uwaga! Odpowiedzialność procesora wobec administratora za wypełnienie obowiązków, jakie wziął na siebie poprzez zawarcie z nim umowy, nie może zostać wyłączona poprzez zawarcie umowy o dalszym powierzeniu danych do przetwarzania. Jeżeli inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność za to obciąży procesora, który zawarł umowę z ADO.

RODO: komu powierzyć przetwarzanie danych osobowych?

Możliwość współpracy Administratora Danych Osobowych z procesorem – podmiotem, któremu chcemy powierzyć przetwarzanie danych – RODO uzależnia od zapewnienia przez taki podmiot wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, tak by było to zgodne z wymogami przewidzianymi w rozporządzeniu, a także chroniło prawa osób, których dane dotyczą (art. 28 RODO). Obecnie, pod rządami polskiej Ustawy o ochronie danych osobowych (UODO), w celu powierzenia przetwarzania danych osobowych przez administratora danych podmioty korzystające z możliwości przewidzianej w art. 31 UODO zawierają umowy o przetwarzanie danych osobowych w formie pisemnej bądź elektronicznej, opatrzonej bezpiecznym podpisem elektronicznym.

Jak skonstruować umowę powierzenia danych?

Czy wspomniana powyżej umowa będzie wystarczająca po 25 maja? Nie – stare umowy powierzenia danych powinny zostać zweryfikowane i co najmniej aneksowane.

Wypróbuj Sage HRcloud za darmo!

Zacznij korzystać

RODO znacząco rozszerza zakres podstawowych zapisów, które będą musiały się znaleźć w umowie powierzenia danych. Treść umowy o powierzeniu danych do przetwarzania powinna zawierać: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Przygotowując umowę o powierzenie przetwarzania danych osobowych z podmiotem zewnętrznym, pamiętaj, by zawarły się w niej obowiązkowe klauzule na podstawie art. 28.3 RODO.

Podmiot przetwarzający dane osobowe ma obowiązek:

To minimalny katalog warunków, jakie powinna zawierać umowa, na mocy której następuje powierzenie przetwarzania danych osobowych.

Bezpiecznie zarządzaj danymi kadrowymi: Sage Symfonia Kadry i Płace

Poznaj ofertę

Ważne: zarówno w interesie ADO, jak i procesora, a przede wszystkim osób, których dane są powierzane do przetwarzania, jest to, by w jak najbardziej pełny sposób określić wzajemne regulacje umowne dotyczące przetwarzanych danych. W procesie zawierania umowy bardzo ważnym elementem jest również podjęcie działań mających na celu sprawdzenie, czy podmiot, z którym ADO chce zawrzeć umowę powierzenia danych, zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

Podpowierzenie – czy pojawi się nowa usługa?

Dotychczas UODO milczy na temat podpowierzenia przetwarzania danych osobowych. Czym właściwie jest podpowierzenie? Mamy z nim do czynienia wówczas, gdy podmiot przetwarzający dane osobowe przekazane przez ADO nie przetwarza tych danych samodzielnie (albo nie tylko samodzielnie), ponieważ korzysta z usług podwykonawców. Tego rodzaju sytuacja została przewidziana w RODO. W art. 28 ust. 2 rozporządzenia doprecyzowano, że powierzając przetwarzanie danych podmiotowi przetwarzającemu, należy zabezpieczyć się na wypadek podpowierzenia tego rodzaju działalności innym podmiotom.

Dlatego w umowie powierzenia należy zawrzeć następujące klauzule:

RODO w UE i poza nią

RODO umożliwia przekazanie danych do państwa trzeciego*, o ile Komisja Europejska zaliczy dane państwo do państw zapewniających odpowiedni poziom ochrony. W pozostałych przypadkach dla legalnego przekazania danych do państwa trzeciego konieczne jest zapewnienie odpowiednich zabezpieczeń w postaci: wiążących reguł korporacyjnych, standardowych klauzul ochrony danych przyjętych przez Komisję, zatwierdzonych kodeksów postępowania lub mechanizmów certyfikacyjnych.

Takie przekazanie możliwe jest też za zgodą osoby, której dane dotyczą i jest niezbędne do wykonania umowy lub ustalenia, dochodzenia lub ochrony roszczeń (art. 49 RODO). ADO może powierzyć przetwarzanie danych osobowych podmiotom przesyłających dane poza UE. W takim przypadku podwykonawca mający siedzibę poza terytorium UE zobowiązany jest przestrzegać przepisów RODO w zakresie zarządzania danymi osobowymi. W przypadku transferu danych osobowych do państwa trzeciego trzeba zagwarantować odpowiedni poziom ochrony przekazywanych danych. Zasadniczą rolę pełnią w tym przypadku podmioty działające w UE a dokonujące dalszego powierzenia danych osobowych podmiotom spoza UE, które przed powierzeniem muszą zapewnić, że takie podmioty będą przetwarzać powierzane dane osobowe zgodnie z RODO.

* Regulacje w zakresie przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych zawarte są w rozdziale V, art. 44 – 50 RODO.

Exit mobile version