Od dnia wejścia w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”), przedsiębiorstwa decydujące się na powierzanie przetwarzania danych osobowych firmom outsourcingowym muszą legitymować się odpowiednio dostosowanymi procedurami w tym zakresie.
Outsourcing przetwarzania danych osobowych

Przykładem sytuacji, w których będziemy mieli do czynienia z powierzeniem przetwarzania danych osobowych, jest między innymi outsourcing usług wsparcia IT, usług kadrowo-księgowych czy usług archiwizacji dokumentacji.

Regulacje prawne powierzenia danych osobowych

Na gruncie dotychczas obowiązującej ustawy o ochronie danych osobowych (tj. z dnia 13 czerwca 2016 r., Dz. U. z 2016 r., poz. 922, dalej: „UODO”) kwestia powierzenia danych osobowych została dość lakonicznie uregulowana w art. 31, wskazując, że administrator danych może powierzyć przetwarzanie danych innemu podmiotowi w drodze umowy zawartej na piśmie. Ustawa nie zawiera szczegółowych wymagań, wedle których następować ma powierzenie przetwarzania danych, nie precyzuje także, jakie minimalne postanowienia taka umowa powinna zawierać. W praktyce bardzo często podmioty, między którymi dochodziło do powierzenia przetwarzania danych, nie zawierały żadnych umów, a jeśli tak, to treść zawartych w nich postanowień kształtowana była dowolnie. Ogólne rozporządzenie o ochronie danych osobowych do przetwarzania danych podeszło w sposób bardziej kompleksowy i znacząco rozszerzyło zakres podstawowych zapisów, które muszą znaleźć się w umowie powierzenia przetwarzania danych. Rozporządzenie wskazało podmioty, które mogą przetwarzać dane osobowe, a nadto gwarancje, jakie musi spełniać podmiot przetwarzający, aby administrator mógł zawrzeć z nim umowę powierzenia przetwarzania danych (dalej: „Umowa powierzenia”). Można przypuszczać, że głównym motywem towarzyszącym ustawodawcy przy formułowaniu unijnych przepisów o ochronie danych było wyeliminowanie z obrotu gospodarczego sytuacji, w których administrator byłby pozbawiony wpływu na wykorzystanie danych bez jego wiedzy i woli. Osoba, której dane dotyczą, powinna mieć pewność, że jej dane są powierzane podmiotom spełniającym takie same gwarancje, jakie musi spełniać administrator danych. Rozporządzenie bowiem znacznie rozszerzyło odpowiedzialność podmiotu przetwarzającego także wtedy, gdy dojdzie do dalszego powierzenia danych (podpowierzenia).

Forma umowy

W myśl rozporządzenia umowa powierzenia może przybrać formę pisemną, w tym także elektroniczną. Podkreślić należy, że zgodnie z obowiązującymi przepisami prawa równoważne formie pisemnej jest także oświadczenie złożone w postaci elektronicznej, opatrzone bezpiecznym podpisem elektronicznym, który wywołuje takie same skutki jak podpis własnoręczny.

Działania, które musi podjąć administrator

Analizując problematykę powierzenia danych osobowych, działania administratora danych, który ma zamiar powierzyć przetwarzanie danych podmiotowi przetwarzającemu (zdefiniowanemu przez RODO jako osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora), sprowadzają się do podjęcia przez niego dwojakiego rodzaju kroków:

  1. wstępnej weryfikacji podmiotu, któremu ma zamiar powierzyć dane osobowe;
  2. zawarcia umowy powierzenia danych osobowych.

Zgodnie z art. 28 ust. 1 RODO administrator odpowiada za właściwy wybór podmiotu powierzającego, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO oraz chroniło prawa osób, których dane dotyczą. Weryfikacja podmiotu powinna obejmować ocenę podmiotu w zakresie między innymi jego wiedzy, wiarygodności, możliwości wdrożenia odpowiednich środków zabezpieczających, a wszystko to oczywiście w odniesieniu do danych osobowych. To, w jaki sposób administrator dokona takiej weryfikacji, pozostawione jest jego uznaniu. W praktyce można zaobserwować, iż administratorzy danych stosują karty pytań kontrolnych, na które podmiot przetwarzający zobowiązany jest udzielić odpowiedzi, czy też zbierają informacje podczas dokonywanego audytu bezpośrednio w podmiocie przetwarzającym. Zwykle pytania kontrolne dotyczą stosowanych przez podmiot środków technicznych i organizacyjnych. Pamiętać należy, że odpowiedzi na dane pytania udzielać należy, uwzględniając stan wiedzy technicznej, koszt wdrażania określonych środków oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia (art. 32 RODO). Dla każdego podmiotu inne będą zatem parametry uwzględniane przy udzielaniu odpowiedzi. Nie można też z góry zakładać, że brak danego zabezpieczenia będzie ze strony administratora wykluczał zawarcie umowy powierzenia.

Umowa o powierzenie danych

Po dokonaniu wstępnej weryfikacji administrator, chcąc powierzyć dane osobowe, zobowiązany jest do zawarcia stosownej umowy z podmiotem przetwarzającym dane. RODO podpowiada, jakie elementy powinna zawierać umowa powierzenia danych (art. 28 ust. 3 RODO). Oczywiście dopuszczalne jest wpisanie w takiej umowie innych dodatkowych postanowień, ważne jest jednak, aby były one w zgodzie z wymaganą przez przepisy RODO minimalną treścią, jaką umowa powinna zawierać.

Do podstawowych wymogów, jakie powinna spełniać umowa powierzenia, można zaliczyć:

  1. określenie, jakie dane zostają powierzone,
  2. określenie zakresu powierzenia,
  3. wskazanie celu przetwarzania,
  4. określenie czasu trwania przetwarzania,
  5. określenie charakteru przetwarzania,
  6. wskazanie kategorii osób, których dane dotyczą oraz rodzaju danych osobowych powierzonych do przetwarzania,
  7. wyszczególnienie praw i obowiązków administratora oraz podmiotu przetwarzającego dane osobowe.

Pozostałe 61% artykułu dostępne jest dla zalogowanych użytkowników serwisu.

Jeśli posiadasz aktywną prenumeratę przejdź do LOGOWANIA. Jeśli nie jesteś jeszcze naszym Czytelnikiem wybierz najkorzystniejszy WARIANT PRENUMERATY.

Zaloguj Zamów prenumeratę Kup dostęp do artykułu

Możesz zobaczyć ten artykuł, jak i wiele innych w naszym portalu Controlling 24. Wystarczy, że klikniesz tutaj.

Zobacz również

Metody wyceny aktywów własnych

Metody wyceny aktywów własnych

Wycena inwestycji jest dobra tylko wtedy, kiedy obie strony transakcji wyjdą na niej win-win. Żeby tak jednak było, obie strony działające w otoczeniu gospodarczym powinny posiadać taką samą informację, wolną od zniekształceń. Oczywiście wiemy, że tak nie jest i tak naprawdę któraś ze stron musi zawsze okazać się w dłuższej perspektywie lekko pokrzywdzona. Co zrobić, by nie być po tej gorszej stronie inwestycji? Trzeba nauczyć się kilku podstawowych metod wyceny własnych aktywów.

Czytaj więcej
Tekst otwarty nr 11-12/2023

Rozwijamy się z naszymi klientami i dla naszych klientów

Rozwijamy się z naszymi klientami i dla naszych klientów

Członek zarządu Controlling Systems o tym, jak zmieniał się controlling w Polsce na przestrzeni ostatnich 20 lat, nowych wyzwaniach oraz szansach dla rozwoju systemów controllingowych i znaczeniu czynnika ludzkiego w rozwoju controllingu.

Czytaj więcej

Polecamy

Przejdź do

Partnerzy

Reklama

Polityka cookies

Dalsze aktywne korzystanie z Serwisu (przeglądanie treści, zamknięcie komunikatu, kliknięcie w odnośniki na stronie) bez zmian ustawień prywatności, wyrażasz zgodę na przetwarzanie danych osobowych przez EXPLANATOR oraz partnerów w celu realizacji usług, zgodnie z Polityką prywatności. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.

Usługa Cel użycia Włączone
Pliki cookies niezbędne do funkcjonowania strony Nie możesz wyłączyć tych plików cookies, ponieważ są one niezbędne by strona działała prawidłowo. W ramach tych plików cookies zapisywane są również zdefiniowane przez Ciebie ustawienia cookies. TAK
Pliki cookies analityczne Pliki cookies umożliwiające zbieranie informacji o sposobie korzystania przez użytkownika ze strony internetowej w celu optymalizacji jej funkcjonowania, oraz dostosowania do oczekiwań użytkownika. Informacje zebrane przez te pliki nie identyfikują żadnego konkretnego użytkownika.
Pliki cookies marketingowe Pliki cookies umożliwiające wyświetlanie użytkownikowi treści marketingowych dostosowanych do jego preferencji, oraz kierowanie do niego powiadomień o ofertach marketingowych odpowiadających jego zainteresowaniom, obejmujących informacje dotyczące produktów i usług administratora strony i podmiotów trzecich. Jeśli zdecydujesz się usunąć lub wyłączyć te pliki cookie, reklamy nadal będą wyświetlane, ale mogą one nie być odpowiednie dla Ciebie.