Outsourcing a powierzanie danych

Outsourcing a powierzanie danych

O czym powinien pamiętać administrator w procesie powierzania danych osobowych zewnętrznym podmiotom?

Korzystanie z outsourcingu w znacznym stopniu ułatwia funkcjonowanie Organizacji oraz podnosi poziom świadczonych przez nią usług. W wielu przypadkach skorzystanie ze wsparcia zewnętrznych podmiotów jest niezbędne dla właściwego zrealizowania zadań przez Organizację. 

Każda zewnętrzna usługa realizowana na rzecz Organizacji będącej równocześnie administratorem danych osobowych wymaga przeanalizowania dokonywanych operacji pod kątem powierzania danych osobowych pomiędzy administratorem, a usługobiorcą (procesorem). Właściwa identyfikacja procesów w których zachodzi powierzenie danych osobowych jest niezbędne w celu dopełnienia wymagań jakie w tym momencie stawia RODO przed administratorem. W szczególności zapewnienia właściwego poziomu bezpieczeństwa danych osobowych oraz wyboru takiego podmiotu, który będzie gwarantował odpowiedni poziom bezpieczeństwa powierzonym danym.

Wymagania jakie stawia RODO przed administratorem, który zamierza powierzyć przetwarzanie danych osobowych, w porównaniu z innymi obszarami jak choćby ocena ryzyk, czy podjęcie środków techniczno-organizacyjnych bezpieczeństwa, przez administratora w celu ochrony danych osobowych, jest dość precyzyjnie opisane. RODO nie mówi jak administrator ma dokonać analizy ryzyk, nie mówi również jakie środki techniczno-organizacyjne należy uznać za „odpowiednie”, mówi natomiast, co tak naprawdę zrobić, jakie wymagania spełnić, gdy zamierzamy powierzyć dane. Elementy te opisane zostały w artykule 28 RODO. Artykuł ten zawiera konkretne wymagania.

Po pierwsze administrator musi ocenić czy dany podmiot gwarantuje bezpieczeństwo danych, które zamierza przekazać. Jak to zrobić? Należy przeprowadzić ocenę zastosowanych środków bezpieczeństwa przez procesora, zarówno organizacyjnych jak i technicznych, np. przekazać ankietę sprawdzającą, przeprowadzić oględziny pomieszczeń w których będzie przetwarzał dane,
w ostateczności przeprowadzić lub zlecić wykonanie audytu. Jaki poziom bezpieczeństwa uznać za wystarczający? Podmiot przetwarzający powinien gwarantować przynajmniej ten sam poziom bezpieczeństwa, jaki wdrożył u siebie administrator, nie powinniśmy dopuścić do sytuacji, w której powierzenie, obniża poziom bezpieczeństwa danych osobowych lub powoduje wyższe ryzyko naruszenia praw i wolności osób, których dane dotyczą. Procesor może również wykazać się w celu spełnienia wystarczających gwarancji, posiadaniem certyfikatu o którym mowa w art. 42 RODO lub stosowaniem kodeksu postępowania – art. 40 RODO. Niestety na dzień pisania tego artykułu nie zostały zatwierdzone żadne kodeksy postępowania ani nie ma wdrożonej ścieżki certyfikacji.

Jeżeli mamy już etap weryfikacji podmiotu za sobą, spisujemy umowę. RODO wymaga, aby przetwarzanie przez podmiot przetwarzający odbywało się na podstawie umowy lub innego instrumentu prawnego. Czym jest inny instrument prawny? Może to być np. stosowne porozumienie pomiędzy stronami. W tym przypadku RODO nie pozostawia administratora samego z problemem jak skonstruować umowę. Jakie elementy i uregulowania muszą się znaleźć w umowie, art. 28 RODO jasno wskazuje:

  • Przedmiot i czas trwania przetwarzania przez procesora;
  • Charakter i cel przetwarzania;
  • Rodzaj danych osobowych oraz kategorie osób, których powierzone dane dotyczą;
  • Obowiązki i prawa stron;
  • Wskazanie, że przetwarzanie danych odbywa się wyłącznie na udokumentowane polecenie administratora;
  • Zapewnienie, by osoby upoważnione do przetwarzania danych osobowych przez procesora zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy; 
  • Zapewnienie, że procesor podejmuje odpowiednie środki bezpieczeństwa danych (art. 32 RODO);
  • Zobowiązanie podmiotu przetwarzającego do przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego;
  • Zobowiązanie procesora, do udzielenia pomocy administratorowi danych poprzez odpowiednie środki techniczne i organizacyjne w wywiązaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą;
  • Pomoc administratorowi danych w wywiązaniu się z obowiązku zapewnienia bezpieczeństwa danych, zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu, zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, oceny skutków przetwarzania, uprzednich konsultacji (art. 32-36 RODO);
  • Zobowiązanie procesora do usunięcia lub zwrotu administratorowi wszelkich danych osobowych oraz usunięcia wszelkich ich istniejących kopii, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
  • Zobowiązanie procesora do udostępnienia administratorowi danych wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w artykule 28 RODO oraz umożliwienie administratorowi danych lub audytorowi upoważnionemu przez administratora danych przeprowadzania audytów, w tym inspekcji, i przyczynianie się do nich.

Sporządzając umowę, zróbmy checklistę. Jeżeli nasza umowa spełnia powyższe wymagania, jest poprawnie skonstruowana. Oczywiście w umowie mogą się znaleźć dalsze bardziej szczegółowe ustalenia. RODO tego nie zabrania. Może to być konieczne, np. ze względu na złożony charakter procesu powierzenia, którego umowa dotyczy. Umowa musi być pisemna wymaga tego art. 28 ust. 9 RODO.

Art. 28 RODO szczególną uwagę poświęca sytuacji dalszego powierzenia danych przez procesora, czyli korzystania przez niego z podwykonawców. Procesor może dalej powierzyć dane, jeżeli uzyska naszą (administratora) zgodę, spisze z tym podmiotem umowę, która nakłada na podwykonawcę te same obowiązki w zakresie bezpieczeństwa, co umowa pomiędzy administratorem i procesorem. Co ważne procesor odpowiada przed nami za naruszenie zasad lub nie wywiązywanie się przez podwykonawcę
z obowiązków wynikających z umowy powierzenia.

Skoro art. 28 RODO podaje nam na tacy konstrukcje procesu powierzenia danych, dlaczego administratorzy popełniają tyle błędów w tym zakresie.

Przede wszystkim jest problem z właściwym odróżnieniem powierzenia danych od udostępnienia. Administrator powierza dane w sytuacji, jeżeli usługodawca ma wykonać dla niego konkretne zadanie, w jego imieniu, na jego polecenie, na jego danych osobowych. Dla przykładu zamawiamy w firmie IT dostarczenie i wdrożenie oraz utrzymanie na serwerach systemu informatycznego, służącego do przetwarzania danych. Jest to klasyczna sytuacja powierzenia danych. W celu wdrożenia i wsparcia technicznego dla systemu, firma IT posiada dostęp do baz danych. Utrzymuje je na serwerach jest więc dla nas procesorem, jest od nas zależny, wykonuje te zadania na nasze polecenie i korzysta w tym celu z naszych danych, które udostępniliśmy na podstawie zawartej umowy. Procesor odpowiada przed nami za przetwarzanie zgodne z umową oraz zwraca nam dane lub je usuwa zgodnie z naszym poleceniem po zakończeniu umowy. Administrator może w każdej chwili wypowiedzieć umowę i żądać zwrotu danych. 

W procesie udostępnienia danych też mamy do czynienia z ich przepływem pomiędzy podmiotami. Przy czym są one odrębnymi administratorami. Tutaj nie ma podległości jednej ze stron i wykonywania zadań w czyimś imieniu. Każdy z administratorów uczestniczących w procesie udostępnienia danych realizuje swoje odrębne cele w większości przypadków będą to cele wynikające z obowiązku jakie nakłada przepis prawa. Każdy z administratorów decyduje tutaj niezależnie o celach i środkach przetwarzania danych i ponosi za nie odpowiedzialność. 

Dla przykładu, wykonywania badania sprawozdania finansowego przez biegłego rewidenta, administrator, w ramach zawartej umowy na wykonanie usługi, udostępnia biegłemu rewidentowi niezbędne dokumenty, dostęp do ksiąg rachunkowych oraz dokumentów stanowiących podstawę dokonanych w nich zapisów oraz wszelkich innych dokumentów, jak również udziela wyczerpujących informacji, wyjaśnień niezbędnych do przeprowadzenia badania sprawozdania finansowego. Zapewnienie to wynika z przepisów prawa, a nie autonomicznej decyzji administratora, co za tym idzie, nie decyduje on o sposobie przetwarzania jego danych przez biegłego rewidenta. Mamy w tej sytuacji do czynienia z dwoma podmiotami, które realizują swoje niezależne cele i zadania i są w związku z tym odrębnymi administratorami danych, którzy przetwarzają, w tym udostępniają pomiędzy sobą dane osobowe, w celu wykonania obowiązków wynikających z przepisów prawa. 

Kolejnym istotnym błędem jest brak odpowiedniej komunikacji pomiędzy Inspektorem ochrony danych powołanym w organizacji i poszczególnymi komórkami organizacyjnymi, w których dochodzi do procesu powierzania danych do zewnętrznych usługodawców. Często Inspektor nie jest informowany i nie ma kontroli nad tym jakie dane oraz jakim podmiotom są udostępniane oraz jak konstruowane są umowy o powierzeniu tych danych i czy w ogóle one są. Problem głównie dotyczy podmiotów publicznych oraz dużych organizacji. Rolą administratora danych jest w tym momencie zapewnić, aby Inspektor był właściwie włączany i informowany w zakresie planowanych operacji powierzenia danych. Może to zrobić poprzez odpowiednie procedury w politykach ochrony danych oraz szkolenie pracowników. 

Dla administratora tak naprawdę, każde zlecenie zadania na zewnątrz, każda zawarta umowa na usługę, outsourcing, powinno powodować zapalenie czerwonej lampki. Czy nie dojdzie tutaj do powierzenia danych, czy nie muszę wziąć pod uwagę art. 28 RODO i zawrzeć umowy powierzenia?

W wielu przypadkach procesor próbuje narzucić formę i zakres umowy powierzenia administratorowi. Dotyczy to głównie podmiotów świadczących usługi na dużą skalę, dla wielu administratorów np. hosting, wsparcie dla systemów IT. Czasem jest to dla nas ułatwienie, ponieważ nie musimy sami konstruować umowy, mamy gotowca od sprawdzonego partnera. Problem zaczyna się w momencie, gdy umowa jest źle skonstruowana lub wyraźnie narusza nasze prawa jako administratora. Szczególnie polecam zwrócić uwagę na zapisy odnośnie korzystania z podwykonawców przez procesora. Należy pamiętać, że procesor nie ma prawa dalej powierzyć danych bez uprzedniej naszej zgody. Co zrobić, jeżeli procesor nie chce zmienić umowy lub zawrzeć na naszych warunkach zasłaniając się wewnętrznymi procedurami i dodatkowo straszy nas odstąpieniem lub niezrealizowaniem usługi, jeżeli nie podpiszemy. Należy pamiętać, że o celach i środkach przetwarzania danych w tym także ich powierzania decyduje administrator. Podmiot, któremu powierzamy dane nie ma prawa narzucić nam formy i zakresu umowy. W takiej sytuacji należałoby się poważnie zastanowić czy podmiot ten spełnia podstawowy warunek, o którym pisałem na początku, czy zapewnia odpowiedni poziom bezpieczeństwa naszych danych, może należałoby poszukać pewniejszego partnera.

Autor: Piotr Kropidłowski CompNet Sp. z o.o.

© Copyright by CompNet Sp. z o. o.