Outsourcing a ochrona danych osobowych
2015-03-18 10:08
Outsourcing a ochrona danych osobowych © Sergey Yarochkin - Fotolia.com
Dziś każdy, nawet najmniejszy biznes nie poradzi sobie bez pomocy zewnętrznego specjalisty – informatyka, księgowego lub prawnika. Rozwiązanie ekonomiczne, wygodne i proste. Jednak z punktu widzenia ustawy o ochronie danych osobowych, sprawa mocno się komplikuje. Pytanie, czy przedsiębiorca, korzystając z usług zewnętrznych podmiotów, nie przekazuje osobom trzecim danych osobowych, którymi administruje?
Przeczytaj także: Ochrona danych osobowych kontra przedsiębiorca
Outsourcing
Wydzielenie ze struktury przedsiębiorstwa części procesów, zwykle pobocznych wobec głównego przedmiotu jego działalności, określa się mianem outsourcingu. Podmiot zewnętrzny może wspierać nasz biznes w każdym aspekcie, począwszy od produkcji prefabrykatów, po świadczenie usług księgowo-kadrowych, obejmujących np. prowadzenie procesów rekrutacyjnych, a także wyliczanie i wypłatę wynagrodzeń.
Na pierwszy rzut oka można nie dostrzec problemów, które związane są z outsourcingiem procesów. Zauważmy jednak, że często wiązać się on będzie z koniecznością udostępnienia przetwarzanych przez nas danych osobowych – dokumentacji pracowniczej, stworzonych na własne potrzeby list mailingowych czy wykazu dłużników. Czy przedsiębiorca ma prawo tak swobodnie dysponować tymi danymi?
Oczywiście, podmiot, któremu przekazuje on dane, wykorzystywać je będzie wyłącznie do świadczenia usług na rzecz administratora danych. Menedżer szpitala, udostępniając bazę danych pacjentów zewnętrznej firmie informatycznej, słusznie oczekuje, że programista zajmie się tylko analizowaniem błędów w języku zapytań SQL, a nie przeglądaniem dokumentacji medycznej. I w zdecydowanej większości przypadków tak właśnie się dzieje. Dlaczego więc podmiot przekazujący dane miałby się martwić? Przecież spełnił wszystkie wymogi przepisów o ochronie danych osobowych i odpowiednio chroni dane!
Trzeba pamiętać, że takie przekazanie danych jest dopuszczalne, lecz pod pewnymi warunkami. Określa je art. 31 ustawy o ochronie danych osobowych, gdyż mówiąc o outsourcingu, mówimy o powierzeniu przetwarzania danych osobowych.
fot. Sergey Yarochkin - Fotolia.com
Outsourcing a ochrona danych osobowych
Administrator może przetwarzać dane samodzielnie lub zlecić tę czynność innemu podmiotowi. W tym drugim przypadku ten, komu powierzono przetwarzanie danych, nie staje się ich nowym administratorem.
Powierzenie przetwarzania danych
Administrator może przetwarzać dane samodzielnie (zgodnie z przepisami ustawy o ochronie danych osobowych, przetwarzaniem są wszelkie operacje na danych, począwszy od ich zbierania, przez przechowywanie, wykorzystywanie, aż po niszczenie lub usuwanie) lub zlecić tę czynność innemu podmiotowi. W tym drugim przypadku ten, komu powierzono przetwarzanie danych, nie staje się ich nowym administratorem, gdyż przede wszystkim nie decyduje o tym, co dziać się będzie z danymi i działa wyłącznie w granicach zakreślonych mu z góry przez administratora.
Powierzenie musi nastąpić na podstawie pisemnej umowy o powierzeniu. Określa ona powierzone dane, cel ich przetwarzania, a także jego zakres. I tak, zlecić możemy każdą operację na danych, począwszy od ich gromadzenia (np. przez agencje marketingowe lub zewnętrzne firmy HR), aż po ich usunięcie (np. poprzez utylizację papierowej dokumentacji zawierającej dane osobowe, jak i trwałe usuwanie danych z dysków twardych firmowych komputerów, w sposób uniemożliwiający ich odzyskanie przez osoby nieupoważnione).
Oczywiście umowa powierzenia przetwarzania danych może przybrać formę odpowiedniej klauzuli umownej. Z tej możliwości korzysta się w praktyce nadzwyczaj często. Umowy o świadczenie usług IT, usług księgowych czy zlecenia stałej obsługi prawnej najczęściej zawierają odpowiednie postanowienia dotyczące powierzenia danych. Ważne jednak, aby umowa zawarta została na piśmie!
Z jednej strony istnieje obowiązek administratora, który cały czas odpowiada za powierzone dane. Co jednak z podmiotem, który dane otrzymał? Czy on też powinien spełnić jakieś dodatkowe wymogi?
Przede wszystkim przetwarzający dane na zlecenie musi odpowiednio te dane zabezpieczyć. Oznacza to, że w praktyce musi spełnić w tym zakresie takie same wymogi, jak administrator danych – stworzyć system upoważnień oraz stosować odpowiednie procedury i środki techniczne. Za dopełnienie tych wymogów przetwarzający na zlecenie odpowiada na równi z administratorem.
Przydatne linki:
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Dobrze… ale po co?
Jest jeden podstawowy argument, aby zadbać o odpowiednie powierzenie przetwarzania danych osobowych – ryzyko poniesienia odpowiedzialności karnej. Trzeba pamiętać, że ustawa o ochronie danych osobowych to również przepisy karne, określające katalog kar, które grozić mogą administratorom, którzy nie dopełnią obowiązków nałożonych na nich przez ustawę.
I tak, zgodnie z art. 51 ustawy, administrator udostępniający dane podmiotom do tego nieuprawnionym, a więc np. podmiotom z którymi nie zawarł odpowiednich umów powierzenia, musi liczyć się z możliwością poniesienia kary w postaci grzywny, ograniczenia wolności, a nawet pozbawienia wolności do lat 2.
Warto więc zweryfikować, czy umowy, które zawarliśmy z podmiotami zewnętrznymi – naszym księgowym, informatykiem lub prawnikiem – zawierają odpowiednie postanowienia. Jeśli nie, najwyższy czas pomyśleć o ich aneksowaniu…
Przeczytaj także:
![Przetwarzanie danych osobowych: obowiązki pracodawcy]( "Przetwarzanie danych osobowych: obowiązki pracodawcy")
Przetwarzanie danych osobowych: obowiązki pracodawcy
Przetwarzanie danych osobowych: obowiązki pracodawcy
oprac. : Bartosz Pudo / Ślązak, Zapiór i Wspólnicy
Więcej na ten temat:
outsourcing, ochrona danych osobowych, ochrona danych, ustawa o ochronie danych osobowych, przetwarzanie danych osobowych
Przeczytaj także
-
![Czy zdrowotne aplikacje mobilne dbają o nasze dane?]( "Czy zdrowotne aplikacje mobilne dbają o nasze dane? [© Marijana z Pixabay]")
Czy zdrowotne aplikacje mobilne dbają o nasze dane?
-
![Retencja danych osobowych pracowników - jak ją prowadzić?]( "Retencja danych osobowych pracowników - jak ją prowadzić? [© Jakub Jirsák - Fotolia.com]")
Retencja danych osobowych pracowników - jak ją prowadzić?
-
![Kary za naruszanie przepisów RODO są wysokie]( "Kary za naruszanie przepisów RODO są wysokie [© Krzysztof - Fotolia.com]")
Kary za naruszanie przepisów RODO są wysokie
-
![Aplikacje zdrowotne: ochrona zdrowia czy ochrona danych?]( "Aplikacje zdrowotne: ochrona zdrowia czy ochrona danych? [© .shock - Fotolia.com]")
Aplikacje zdrowotne: ochrona zdrowia czy ochrona danych?
-
![Aplikacje mobilne w walce z COVID-19 a ochrona danych]( "Aplikacje mobilne w walce z COVID-19 a ochrona danych [© Jakub Jirsák - Fotolia.com]")
Aplikacje mobilne w walce z COVID-19 a ochrona danych
-
![Walka z pandemią czy ochrona danych - co ma priorytet?]( "Walka z pandemią czy ochrona danych - co ma priorytet? [© Andrey Popov - Fotolia.com]")
Walka z pandemią czy ochrona danych - co ma priorytet?
-
![Ocena skutków przetwarzania danych dla ich ochrony]( "Ocena skutków przetwarzania danych dla ich ochrony [© maxsim - Fotolia.com]")
Ocena skutków przetwarzania danych dla ich ochrony
-
![Rok RODO]( "Rok RODO [© Krzysztof - Fotolia.com]")
Rok RODO
-
![Ochrona danych osobowych w zamówieniach publicznych]( "Ochrona danych osobowych w zamówieniach publicznych [© designer491 - Fotolia.com]")
Ochrona danych osobowych w zamówieniach publicznych
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)
ROBYG z nowym etapem Portu Popowice we Wrocławiu
