Od dnia wejścia w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”), przedsiębiorstwa decydujące się na powierzanie przetwarzania danych osobowych firmom outsourcingowym muszą legitymować się odpowiednio dostosowanymi procedurami w tym zakresie.

Przykładem sytuacji, w których będziemy mieli do czynienia z powierzeniem przetwarzania danych osobowych, jest między innymi outsourcing usług wsparcia IT, usług kadrowo-księgowych czy usług archiwizacji dokumentacji.

Regulacje prawne powierzenia danych osobowych

Na gruncie dotychczas obowiązującej ustawy o ochronie danych osobowych (tj. z dnia 13 czerwca 2016 r., Dz. U. z 2016 r., poz. 922, dalej: „UODO”) kwestia powierzenia danych osobowych została dość lakonicznie uregulowana w art. 31, wskazując, że administrator danych może powierzyć przetwarzanie danych innemu podmiotowi w drodze umowy zawartej na piśmie. Ustawa nie zawiera szczegółowych wymagań, wedle których następować ma powierzenie przetwarzania danych, nie precyzuje także, jakie minimalne postanowienia taka umowa powinna zawierać. W praktyce bardzo często podmioty, między którymi dochodziło do powierzenia przetwarzania danych, nie zawierały żadnych umów, a jeśli tak, to treść zawartych w nich postanowień kształtowana była dowolnie. Ogólne rozporządzenie o ochronie danych osobowych do przetwarzania danych podeszło w sposób bardziej kompleksowy i znacząco rozszerzyło zakres podstawowych zapisów, które muszą znaleźć się w umowie powierzenia przetwarzania danych. Rozporządzenie wskazało podmioty, które mogą przetwarzać dane osobowe, a nadto gwarancje, jakie musi spełniać podmiot przetwarzający, aby administrator mógł zawrzeć z nim umowę powierzenia przetwarzania danych (dalej: „Umowa powierzenia”). Można przypuszczać, że głównym motywem towarzyszącym ustawodawcy przy formułowaniu unijnych przepisów o ochronie danych było wyeliminowanie z obrotu gospodarczego sytuacji, w których administrator byłby pozbawiony wpływu na wykorzystanie danych bez jego wiedzy i woli. Osoba, której dane dotyczą, powinna mieć pewność, że jej dane są powierzane podmiotom spełniającym takie same gwarancje, jakie musi spełniać administrator danych. Rozporządzenie bowiem znacznie rozszerzyło odpowiedzialność podmiotu przetwarzającego także wtedy, gdy dojdzie do dalszego powierzenia danych (podpowierzenia).

Forma umowy

W myśl rozporządzenia umowa powierzenia może przybrać formę pisemną, w tym także elektroniczną. Podkreślić należy, że zgodnie z obowiązującymi przepisami prawa równoważne formie pisemnej jest także oświadczenie złożone w postaci elektronicznej, opatrzone bezpiecznym podpisem elektronicznym, który wywołuje takie same skutki jak podpis własnoręczny.

Działania, które musi podjąć administrator

Analizując problematykę powierzenia danych osobowych, działania administratora danych, który ma zamiar powierzyć przetwarzanie danych podmiotowi przetwarzającemu (zdefiniowanemu przez RODO jako osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora), sprowadzają się do podjęcia przez niego dwojakiego rodzaju kroków:

  1. wstępnej weryfikacji podmiotu, któremu ma zamiar powierzyć dane osobowe;
  2. zawarcia umowy powierzenia danych osobowych.

Zgodnie z art. 28 ust. 1 RODO administrator odpowiada za właściwy wybór podmiotu powierzającego, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO oraz chroniło prawa osób, których dane dotyczą. Weryfikacja podmiotu powinna obejmować ocenę podmiotu w zakresie między innymi jego wiedzy, wiarygodności, możliwości wdrożenia odpowiednich środków zabezpieczających, a wszystko to oczywiście w odniesieniu do danych osobowych. To, w jaki sposób administrator dokona takiej weryfikacji, pozostawione jest jego uznaniu. W praktyce można zaobserwować, iż administratorzy danych stosują karty pytań kontrolnych, na które podmiot przetwarzający zobowiązany jest udzielić odpowiedzi, czy też zbierają informacje podczas dokonywanego audytu bezpośrednio w podmiocie przetwarzającym. Zwykle pytania kontrolne dotyczą stosowanych przez podmiot środków technicznych i organizacyjnych. Pamiętać należy, że odpowiedzi na dane pytania udzielać należy, uwzględniając stan wiedzy technicznej, koszt wdrażania określonych środków oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia (art. 32 RODO). Dla każdego podmiotu inne będą zatem parametry uwzględniane przy udzielaniu odpowiedzi. Nie można też z góry zakładać, że brak danego zabezpieczenia będzie ze strony administratora wykluczał zawarcie umowy powierzenia.

Umowa o powierzenie danych

Po dokonaniu wstępnej weryfikacji administrator, chcąc powierzyć dane osobowe, zobowiązany jest do zawarcia stosownej umowy z podmiotem przetwarzającym dane. RODO podpowiada, jakie elementy powinna zawierać umowa powierzenia danych (art. 28 ust. 3 RODO). Oczywiście dopuszczalne jest wpisanie w takiej umowie innych dodatkowych postanowień, ważne jest jednak, aby były one w zgodzie z wymaganą przez przepisy RODO minimalną treścią, jaką umowa powinna zawierać.

Do podstawowych wymogów, jakie powinna spełniać umowa powierzenia, można zaliczyć:

  1. określenie, jakie dane zostają powierzone,
  2. określenie zakresu powierzenia,
  3. wskazanie celu przetwarzania,
  4. określenie czasu trwania przetwarzania,
  5. określenie charakteru przetwarzania,
  6. wskazanie kategorii osób, których dane dotyczą oraz rodzaju danych osobowych powierzonych do przetwarzania,
  7. wyszczególnienie praw i obowiązków administratora oraz podmiotu przetwarzającego dane osobowe.

Full access available for logged users only. Log in or select best subscription option here..

Log in Order a subscription

Also check

Kontrole w zakresie cen transferowych – nowe narzędzia i trendy

CiRZ_237_25.jpg

Pakiet przepisów o cenach transferowych wprowadzony od dnia 1 stycznia 2019 r. daje organom komplet narzędzi niezbędnych do skutecznych kontroli w zakresie cen transferowych. W powiązaniu z już wprowadzonymi zmianami organizacyjnymi w strukturach KAS (między innymi utworzeniem centrów kompetencyjnych w zakresie cen transferowych, czyli jednostek wyspecjalizowanych w monitorowaniu i kontroli cen transferowych, w tym przygotowywaniu analiz cen transferowych) należy spodziewać się zwiększenia skuteczności kontroli w nadchodzących latach.

Read more

Wewnętrzne procedury antykorupcyjne

CiRZ_237_21.jpg

Wdrożenie wewnętrznych procedur antykorupcyjnych ma z założenia przeciwdziałać negatywnym zjawiskom, jakie mogą wystąpić w firmie. Szczególnego znaczenia nabiera w obliczu trwających prac nad wprowadzeniem nowej ustawy o odpowiedzialności podmiotów zbiorowych. W krótkim czasie posiadanie wewnętrznych procedur antykorupcyjnych będzie normą, której niespełnienie może mieć negatywne skutki dla prowadzonej działalności.

Read more

Centra odpowiedzialności w firmie

CiRZ_2_45.jpg

W celu sprawnego zarządzania przedsiębiorstwem można w nim wyodrębnić tzw. centra odpowiedzialności. Ich rodzaj uzależniony jest od tego, która część firmowego rachunku wyników ma stanowić przedmiot kontroli.

Read more

Current issue

Polecamy

Go to

Partners

Reklama