Od dnia wejścia w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”), przedsiębiorstwa decydujące się na powierzanie przetwarzania danych osobowych firmom outsourcingowym muszą legitymować się odpowiednio dostosowanymi procedurami w tym zakresie.

Przykładem sytuacji, w których będziemy mieli do czynienia z powierzeniem przetwarzania danych osobowych, jest między innymi outsourcing usług wsparcia IT, usług kadrowo-księgowych czy usług archiwizacji dokumentacji.

Regulacje prawne powierzenia danych osobowych

Na gruncie dotychczas obowiązującej ustawy o ochronie danych osobowych (tj. z dnia 13 czerwca 2016 r., Dz. U. z 2016 r., poz. 922, dalej: „UODO”) kwestia powierzenia danych osobowych została dość lakonicznie uregulowana w art. 31, wskazując, że administrator danych może powierzyć przetwarzanie danych innemu podmiotowi w drodze umowy zawartej na piśmie. Ustawa nie zawiera szczegółowych wymagań, wedle których następować ma powierzenie przetwarzania danych, nie precyzuje także, jakie minimalne postanowienia taka umowa powinna zawierać. W praktyce bardzo często podmioty, między którymi dochodziło do powierzenia przetwarzania danych, nie zawierały żadnych umów, a jeśli tak, to treść zawartych w nich postanowień kształtowana była dowolnie. Ogólne rozporządzenie o ochronie danych osobowych do przetwarzania danych podeszło w sposób bardziej kompleksowy i znacząco rozszerzyło zakres podstawowych zapisów, które muszą znaleźć się w umowie powierzenia przetwarzania danych. Rozporządzenie wskazało podmioty, które mogą przetwarzać dane osobowe, a nadto gwarancje, jakie musi spełniać podmiot przetwarzający, aby administrator mógł zawrzeć z nim umowę powierzenia przetwarzania danych (dalej: „Umowa powierzenia”). Można przypuszczać, że głównym motywem towarzyszącym ustawodawcy przy formułowaniu unijnych przepisów o ochronie danych było wyeliminowanie z obrotu gospodarczego sytuacji, w których administrator byłby pozbawiony wpływu na wykorzystanie danych bez jego wiedzy i woli. Osoba, której dane dotyczą, powinna mieć pewność, że jej dane są powierzane podmiotom spełniającym takie same gwarancje, jakie musi spełniać administrator danych. Rozporządzenie bowiem znacznie rozszerzyło odpowiedzialność podmiotu przetwarzającego także wtedy, gdy dojdzie do dalszego powierzenia danych (podpowierzenia).

Forma umowy

W myśl rozporządzenia umowa powierzenia może przybrać formę pisemną, w tym także elektroniczną. Podkreślić należy, że zgodnie z obowiązującymi przepisami prawa równoważne formie pisemnej jest także oświadczenie złożone w postaci elektronicznej, opatrzone bezpiecznym podpisem elektronicznym, który wywołuje takie same skutki jak podpis własnoręczny.

Działania, które musi podjąć administrator

Analizując problematykę powierzenia danych osobowych, działania administratora danych, który ma zamiar powierzyć przetwarzanie danych podmiotowi przetwarzającemu (zdefiniowanemu przez RODO jako osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora), sprowadzają się do podjęcia przez niego dwojakiego rodzaju kroków:

  1. wstępnej weryfikacji podmiotu, któremu ma zamiar powierzyć dane osobowe;
  2. zawarcia umowy powierzenia danych osobowych.

Zgodnie z art. 28 ust. 1 RODO administrator odpowiada za właściwy wybór podmiotu powierzającego, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO oraz chroniło prawa osób, których dane dotyczą. Weryfikacja podmiotu powinna obejmować ocenę podmiotu w zakresie między innymi jego wiedzy, wiarygodności, możliwości wdrożenia odpowiednich środków zabezpieczających, a wszystko to oczywiście w odniesieniu do danych osobowych. To, w jaki sposób administrator dokona takiej weryfikacji, pozostawione jest jego uznaniu. W praktyce można zaobserwować, iż administratorzy danych stosują karty pytań kontrolnych, na które podmiot przetwarzający zobowiązany jest udzielić odpowiedzi, czy też zbierają informacje podczas dokonywanego audytu bezpośrednio w podmiocie przetwarzającym. Zwykle pytania kontrolne dotyczą stosowanych przez podmiot środków technicznych i organizacyjnych. Pamiętać należy, że odpowiedzi na dane pytania udzielać należy, uwzględniając stan wiedzy technicznej, koszt wdrażania określonych środków oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia (art. 32 RODO). Dla każdego podmiotu inne będą zatem parametry uwzględniane przy udzielaniu odpowiedzi. Nie można też z góry zakładać, że brak danego zabezpieczenia będzie ze strony administratora wykluczał zawarcie umowy powierzenia.

Umowa o powierzenie danych

Po dokonaniu wstępnej weryfikacji administrator, chcąc powierzyć dane osobowe, zobowiązany jest do zawarcia stosownej umowy z podmiotem przetwarzającym dane. RODO podpowiada, jakie elementy powinna zawierać umowa powierzenia danych (art. 28 ust. 3 RODO). Oczywiście dopuszczalne jest wpisanie w takiej umowie innych dodatkowych postanowień, ważne jest jednak, aby były one w zgodzie z wymaganą przez przepisy RODO minimalną treścią, jaką umowa powinna zawierać.

Do podstawowych wymogów, jakie powinna spełniać umowa powierzenia, można zaliczyć:

  1. określenie, jakie dane zostają powierzone,
  2. określenie zakresu powierzenia,
  3. wskazanie celu przetwarzania,
  4. określenie czasu trwania przetwarzania,
  5. określenie charakteru przetwarzania,
  6. wskazanie kategorii osób, których dane dotyczą oraz rodzaju danych osobowych powierzonych do przetwarzania,
  7. wyszczególnienie praw i obowiązków administratora oraz podmiotu przetwarzającego dane osobowe.

Pozostałe 61% artykułu dostępne jest dla zalogowanych użytkowników serwisu.

Jeśli posiadasz aktywną prenumeratę przejdź do LOGOWANIA. Jeśli nie jesteś jeszcze naszym Czytelnikiem wybierz najkorzystniejszy WARIANT PRENUMERATY.

Zaloguj Zamów prenumeratę Kup dostęp do artykułu

Zobacz również

Model controllingu wartości przedsiębiorstwa z perspektywy właścicieli

CIRZ_10_2020_12.jpg

W pierwszej części artykułu, opublikowanej w numerze 09/2020, pokazane zostało, że sama wycena wartości przedsiębiorstwa jest ważna, ale nie pozwala na ocenę poszczególnych obszarów i osób za nie odpowiedzialnych. Jak więc rozliczać i motywować z poziomu właściciela?

Czytaj więcej

HR i controlling – odwieczni wrogowie czy dwie strony tego samego medalu?

CiRZ_9_21.jpg

Co nowego o zarządzaniu przez dane „haerowiec” może powiedzieć „finansiście”? Bo przecież o danych i o liczbach w organizacji nikt nie wie więcej niż właśnie controlling finansowy. Dlaczego w HR 1 plus 3 daje czasem 5? Nie, nie dlatego, że HRowiec nie rozumie zasad matematyki, ale dlatego, że uwzględnia jej niestandardowe działania. I dlatego, że w HR liczby przyjmują mniej oczywisty wymiar głównie dlatego, że ludzi czasem trzeba policzyć inaczej niż według głów lub etatów.

Czytaj więcej

Controlling wartości przedsiębiorstwa ‑ perspektywa włascicieli Cz. 1

CiRZ_9_6.jpg

Opracowanie i realizacja strategii zapewniającej wzrost wartości przedsiębiorstwa jest coraz częściej jednym z głównych zadań zarządów firm. Właściciele oczekują, że wszystkie działania zarządu będą podporządkowane maksymalizacji wartości przedsiębiorstwa, jako inwestycji właścicieli i będą pozwalały właścicielom uzyskiwać szybki i oczekiwany zwrot z zainwestowanego kapitału. Mimo powszechnej akceptacji takiego zadania zarządu, wciąż brakuje jednoznacznych wytycznych, jakie działania i w jaki sposób ma konkretnie realizować zarząd, by rosła wartość przedsiębiorstwa i docelowo zwrot z inwestycji właścicieli.

Czytaj więcej

Polecamy

Przejdź do

Partnerzy

Reklama