Outsourcing usług według RODO 2018

10 paź 2017
Sylwia Czub-Kiełczewska
Specjalista ds. ochrony danych osobowych i informacji niejawnych
rozwiń więcej
Outsourcing usług według RODO./ fot. Fotolia / Fotolia
Każde przekazanie danych osobowych innemu podmiotowi musi być uzasadnione prawnie, w przeciwnym wypadku dojdzie do udostępnienia osobie nieupoważnionej, co może skutkować niebotyczną karą. Jest to także ogromne ryzyko biznesowe i wizerunkowe, dla podmiotu, który dokonał takiego udostępnienia.

Powierzenie danych – o co chodzi?

Do powierzenia dochodzi wtedy, gdy na zlecenie administratora danych, inny podmiot dokonuje operacji na danych osobowych. Podmiot, któremu dane są powierzane, nie staje się ich administratorem (chociaż ponosi odpowiedzialność tak samo, jak administrator), jedynie wykonuje operacje na danych, należących do administratora danych, w sposób i w celu ściśle przez niego określonym. Podmiot, któremu dane powierzono nie ma prawa ich wykorzystywać, do własnych celów (w szczególności dodawać ich do własnej bazy klientów/marketingowej oraz dalej udostępniać/sprzedawać). Powierzyć można dowolną czynność na danych od gromadzenia, przez edycję, przechowywanie, usunięcie.

Polecamy: RODO. Ochrona danych osobowych. Przewodnik po zmianach

Przykłady powierzenia danych:

  • Korzystanie z usług zewnętrznej księgowości/biura rachunkowego
  • Zewnętrzne usługi helpdesku
  • Korzystanie z usług zewnętrznego archiwum
  • Zewnętrzny dział prawny
  • Przeprowadzanie konkursów przez agencję reklamową na zlecenie klienta
  • Zewnętrzna obsługa BHP

Zasady powierzenia danych określał dotychczas art. 31 ustawy o ochronie danych osobowych. Zgodnie z nim, aby powierzenie było legalne i skuteczne, powinno zostać zawarte na piśmie. Podmiot, któremu powierzono dane, nie może przetwarzać ich w zakresie i celu szerszym, niż określony w umowie, ma także obowiązek zapewnienia odpowiednich środków technicznych i organizacyjnych, w szczególności opracować i wdrożyć dokumentację bezpieczeństwa. Ustawa daje administratorowi prawo kontrolowania podmiotu, któremu powierzył dane, pod kątem wywiązywania się przez niego z ustawowych i umownych obowiązków.

Problemy wynikające z aktualnych zasad powierzenia:

W praktyce okazuje się trudne lub niemożliwe zawarcie umowy na piśmie zwłaszcza, gdy dane są powierzane dużym koncernom. Obecne przepisy właściwie nie pozwalają na dalsze powierzenie danych (powierzyć może tylko administrator, a nie podmiot przetwarzający, nawet za zgodą ADO), a w praktyce jest to często stosowane rozwiązanie. Ustawa dopuszcza powierzenie danych bez zawarcia pisemnej umowy, jeżeli powierzenia dokonują podmioty publiczne (jest to zmiana, która została wprowadzona do ustawy po ogłoszeniu programu 500+). Zawarcie szczegółowej umowy, pozwala zabezpieczyć interes obu stron i określić warunki pracy na danych oraz zasady zobligowania do poufności oraz upoważnienia do przetwarzania danych pracowników podmiotu przetwarzającego. Są to obowiązki administratora danych, który na mocy umowy powierzenia (zazwyczaj) upoważnia do tych czynności podmiot przetwarzający, pozostawiając sobie prawo do regularnej kontroli w tym zakresie oraz bycia informowanym o każdej zmianie osób upoważnionych. Brak umowy powierzenia w praktyce utrudnia administratorowi danych wywiązanie się z tych obowiązków, bo musi je wykonać samodzielnie. W praktyce jest to bardzo trudne do zrealizowania i mam duże wątpliwości, czy podmioty, które skorzystały z przywileju nie zawierania pisemnej umowy powierzenia, wywiązują się ze swojego ustawowego obowiązku (czyli czy są w stanie zagwarantować powierzonym danym pełną rozliczalność).

Zobacz: Finanse

Co zmienia ogólne rozporządzenie o ochronie danych?

RODO dopuszcza zawarcie powierzenia w innej formie, w szczególności elektronicznie, jeżeli prawo krajowe lub unijne to dopuszcza (art. 28.3 RODO).

RODO bardzo szczegółowo określa obowiązki podmiotu przetwarzającego. Musi on zapewnić przynajmniej taki sam poziom ochrony jak administrator danych, dokonywać regularnego szacowania ryzyka oraz być w stanie zapewnić ciągłość działania. Jest to duże ułatwienie dla obu stron, bo po pierwsze wiedzą co robić, po drugie wiedzą co powinno zawierać powierzenie.

Zgodnie z RODO (art. 28.3b) podmiot przetwarzający jest zobligowany upoważnić i zobligować do poufności swoich pracowników. Wreszcie reguluje i zezwala na dalsze powierzenie danych. Jest ono dopuszczalne o ile administrator danych wyrazi na to zgodę (art. 28.2). RODO wyraźne określa, że po zakończeniu świadczenia usługi podmiot przetwarzający ma obowiązek albo usunąć dane albo zwrócić je administratorowi (dotychczas należało to dopowiedzieć w umowie powierzenia).

Autopromocja

Prawa i obowiązki dyrektora szkoły. Kompetencje. Zadania. Odwołanie

Sprawdź

W RODO nigdzie nie pojawia się hasło „powierzenie danych”, natomiast prawie na każdym kroku rozporządzenie określa obowiązki podmiotu przetwarzającego (czyli tego, któremu dane powierzono). Jest to bardzo pozytywna zmiana.

Zobacz również:

Co powinna zawierać umowa powierzenia danych zgodna z RODO?

Tak jak wspomniałam wcześniej, RODO dopuszcza różne formy powierzenia, w tym elektroniczne, jednakże wymaga uregulowania relacji pomiędzy administratorem oraz podmiotem powierzających. Umowa powierzenia, zgodna z RODO powinna zawierać co najmniej:

  1. Określenie administratora danych
  2. Określenie podmiotu przetwarzającego dane na zlecenie administratora
  3. Oświadczenie administratora danych, potwierdzające, że ma prawo decydować o celu i środkach przetwarzania powierzanych danych
  4. Przedmiot i czas trwania przetwarzania (umowy)
  5. Charakter i cel przetwarzania, rodzaj powierzanych danych danych osobowych oraz kategorie osób, których powierzenie dotyczy (czyli określenie jakie dane, w jakiej ilości, jakiej formie są powierzane).
  6. Oświadczenie podmiotu przetwarzającego, że posiada niezbędne, wymagana przepisami prawa środki ochrony fizycznej i organizacyjnej, mające na celu zapewnienie zgodności przetwarzania danych z przepisami, w szczególności że:
    1. Dokonał wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie powierzonych danych spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
    2. Wdrożone środki są na poziomie co najmniej takim, jakiego wymaga art. 32 RODO oraz zostały dobrane i są stosowane w oparciu o prowadzoną analizę ryzyka i zagrożeń.
    3. Zapewnia regularne testowanie, mierzenie i ocenianie wdrożonych środków ochrony danych.
    4. Przeszkolił oraz zobligował do zachowania poufności personel, który będzie przetwarzał dane
    5. Informuje administratora o obowiązku przekazania, wynikającym z przepisów prawa, powierzonych danych do Państwa trzeciego lub organizacji międzynarodowej. W takiej sytuacji administrator ma prawo zrezygnować z powierzenia.
  7. Zasady dalszego powierzenia danych: czy ADO zgadza się na dalsze powierzenie. W przypadku zgody, komu dane będą powierzone oraz czy jest planowane dalsze powierzenie (obowiązek informowania ADO o każdym dalszym powierzeniu i pozyskanie jego zgody).
  8. Określenie odpowiedzialności podmiotu przetwarzającego za każde dalsze powierzenie, także za zawarcie odpowiedniej umowy oraz zapewnienie przez ten podmiot poziomu ochrony nie niższej, niż ten zapewniony przez podmiot przetwarzający.
  9. Obowiązek (w miarę możliwości) wsparcia przy wywiązywaniu się z obowiązków informacyjnych wobec podmiotu danych.
  10. Obowiązek usunięcia lub zwrócenia danych po zakończeniu przetwarzania.
  11. Prawo do bycia kontrolowanym przez ADO.
  12. Obowiązek niezwłocznego informowania ADO, o każdym naruszeniu lub podejrzeniu naruszenia poufności powierzonych danych.
Sektor publiczny
W lasach zwiększone ryzyko powstania pożaru. O czym pamiętać w majówkę?
30 kwi 2024

W majówkę w lesie powinniśmy zachować szczególną ostrożność. Gdzie ryzyko pożaru jest największe?

Czy bon energetyczny będzie opodatkowany? Pojawi się uzupełnienie przepisów ustawy
30 kwi 2024

Ustawa o bonie energetycznym została już przygotowana, a więc znane są warunki, na jakich będzie przyznawane to nowe świadczenie. Minister klimatu i środowiska Paulina Hennig-Kloska deklaruje również, że nie ma planów opodatkowania beneficjentów bonu energetycznego, a odpowiednie uzupełnienie znajdzie się w ustawie.

Jest nowy prezes ZUS. Kim jest Zbigniew Derdziuk?
30 kwi 2024

Zbigniew Derdziuk rozpoczął pracę na stanowisku prezesa Zakładu Ubezpieczeń Społecznych - poinformował we wtorek ZUS. Akt powołania wręczyli Derdziukowi wiceminister rodziny Sebastian Gajewski oraz przewodniczący Rady Nadzorczej ZUS Liwiusz Laska.

Co robić w majówkę w Warszawie? Będzie dużo atrakcji
30 kwi 2024

Majówka w Warszawie. Jakie atrakcje czekają na warszawiaków i turystów w czasie długiego majowego weekendu? 

Eksperci ostrzegają: Ceny kakao będą dalej rosnąć. Konsekwencje dla rynku spożywczego i kosmetycznego
29 kwi 2024

Cena kakao na rynku jest w stanie stałego wzrostu, a prognozy nie napawają optymizmem. Według raportu UCE Research i WSB Merito, do końca roku cena kakao może przekroczyć 12-13 tysięcy dolarów za tonę, a nawet zbliżyć się do 15 tysięcy dolarów. Obecnie już przekracza 11 tysięcy dolarów za tonę. Co stoi za tym trendem i jakie konsekwencje to niesie?

Tak będzie wyglądała majówka w stolicy. Przegląd najważniejszych wydarzeń
29 kwi 2024

Zbliża się długi majowy weekend, a Warszawa szykuje się na wiele uroczystości i wydarzeń. Oto przegląd najważniejszych wydarzeń, które odbędą się w stolicy w najbliższych dniach.

Odpady budowlane i rozbiórkowe nie będą musiały być od razu segregowane. Jest projekt ustawy.
29 kwi 2024

Odpady budowlane i rozbiórkowe nie będą musiały być od razu segregowane. Zapobiegnie to wzrostowi kosztu ich odbioru oraz nielegalnemu porzucaniu śmieci. Samorządy będą też mogły otrzymać więcej środków z budżetu na likwidację nielegalnych wysypisk.

Bon energetyczny przyjęty przez rząd. Ma mieć wartość od 300 do 1200 zł, przy progach dochodowych 2500 lub 1700 zł na osobę w gospodarstwie
29 kwi 2024

Ustawa o bonie energetycznym została przyjęta przez Stały Komitet Rady Ministrów. Jak wynika z nowych regulacji bon energetyczny będzie świadczeniem dla gospodarstw domowych, których dochody nie przekraczają 2500 zł na osobę w gospodarstwie jednoosobowym, albo 1700 zł na osobę w gospodarstwie wieloosobowym. Wartość bonu energetycznego to przedział od 300 do 1200 zł. Wniosek o wypłatę bonu będzie można złożyć od 15 lipca do 30 września 2024 r.

Jak zapłacić 100 zł zamiast 460 zł za bilet z Warszawy do Wiednia? Rusza wielka akcja PKP Intercity
29 kwi 2024

Ministerstwo Infrastruktury informuje o kampanii "20 tysięcy biletów na 20 lat Polski w Unii Europejskiej", która inauguruje obchody rocznicy 20-lecia obecności Polski w UE w obszarze infrastruktury. W ramach promocyjnej oferty PKP Intercity będzie można nawet za 20 proc. ceny regularnej udać się pociągiem do Wiednia, Pragi, Berlina czy Budapesztu.

Majówka z mObywatelem. Zobacz, jak wykorzystać aplikację w hotelu, pociągu czy wypożyczalni sprzętu sportowego
29 kwi 2024

W okresie majówki, kiedy większość z nas planuje odpoczynek i wyrusza w podróż, warto pamiętać o wygodnych i bezpiecznych narzędziach. Aplikacja mObywatel to nie tylko cyfrowy portfel na dokumenty, ale także wszechstronny asystent, który ułatwia codzienne życie. Dlaczego warto spędzić majówkę z mObywatelem?

pokaż więcej
Proszę czekać...