Zdecydowana większość dużych podmiotów gospodarczych przy wykonywaniu działalności gospodarczej korzysta z outsourcingu. Rozwiązanie takie przynosi wiele korzyści, w szczególności jeśli chodzi o usługi księgowe, kadrowe, BHP czy IT. Z drugiej strony, oznacza konieczność przekazywania danych osobowych, w tym przede wszystkim danych pracowniczych podmiotom zewnętrznym, co możliwe jest na podstawie umowy o powierzenie przetwarzania danych osobowych.
Wchodzące w życie 25 maja 2018r. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (tzw. RODO) bardziej rygorystycznie reguluje kwestię tej umowy, znacznie uszczegóławiając jej elementy. Pracodawcy powinni być przygotowani na te zmiany i w odpowiedni sposób dostosować obowiązujące ich umowy, np. poprzez aneksowanie obecnych lub zawarcie nowych umów.
Kontrola podmiotu, któremu powierza się dane
W sytuacji korzystania z outsourcingu administratorem danych nadal pozostaje pracodawca, który jedynie przekazuje te dane innemu podmiotowi na podstawie umowy o powierzenie przetwarzania danych. RODO wprowadza nowy, istotny obowiązek dla takiego administratora, a mianowicie nakazuje sprawdzenie podmiotu, któremu powierza się przetwarzanie danych osobowych.
Administrator powinien korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Oznacza to obowiązek uprzedniego zbadania podmiotu, z którym planuje się zawrzeć umowę o powierzenie przetwarzania danych, w szczególności pod kątem jego fachowej wiedzy, wiarygodności i zasobów. Może to oznaczać konieczność wprowadzenia do umowy postanowień wskazujących na możliwość kontroli i sprawdzania takiego podmiotu (w szczególności poprzez audyt). W razie jakichkolwiek problemów, administrator powinien bowiem móc wykazać, że wybrał odpowiedni podmiot.
Rozszerzenie zakresu treści umowy o powierzenie przetwarzania danych
Zawarcie umowy o powierzenie przetwarzania danych osobowych w formie pisemnej (w tym elektronicznej) jest obowiązkiem, a nie jedynie uprawnieniem. W tym kontekście należy zauważyć, że RODO – w porównaniu do dotychczas obowiązujących przepisów – znacznie rozszerza katalog elementów koniecznych, które należy zawrzeć w umowie o powierzenie przetwarzania danych osobowych.
Elementami obligatoryjnymi umowy powierzenia przetwarzania danych są:
- przedmiot przetwarzania,
- czas trwania przetwarzania,
- charakter i cel przetwarzania,
- rodzaj danych osobowych,
- kategorie osób, których dane dotyczą,
- obowiązki i prawa administratora,
- obowiązki podmiotu przetwarzającego.
Ponadto, umowa powinna zawierać szereg innych postanowień wskazujących na obowiązki podmiotu przetwarzającego. Powinna ona regulować obowiązek zachowania tajemnicy przez osoby upoważnione przez podmiot przetwarzający do przetwarzania danych osobowych. Dodatkowo, podmiot ten powinien w miarę możliwości pomagać administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z jego poszczególnych obowiązków, np. obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw.
Istotne jest także określenie w umowie, czy podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie usuwa lub zwraca administratorowi wszelkie dane osobowe oraz czy usuwa wszelkie ich istniejące kopie.
Z jednej strony, należy więc sporządzić umowę w ten sposób, by zabezpieczała prawa administratora Z drugiej jednak strony, poszczególne elementy umowy powinny spełniać wymagania RODO, które są znacznie bardziej rozbudowane od wymogów dotychczas stawianych przez prawo. Właściwe wyważenie interesów w tym zakresie może okazać się problematyczne.
Przetwarzanie danych wyłącznie na udokumentowane polecenie administratora
Istotną kwestią jest okoliczność, że podmiot przetwarzający może przetwarzać dane wyłącznie na udokumentowane polecenie administratora.
Pracodawcy korzystający z outsourcingu powinni zdecydować, czy chcą, by polecenie takie stanowiło element umowy o powierzenie przetwarzania danych, czy by było odrębnym dokumentem.
Nie dostosowanie umów grozi surowymi sankcjami
Przed pracodawcami powstaje żmudne zadanie zawierania nowych umów o powierzenie przetwarzania danych lub aneksowania tych jeszcze obowiązujących, przy uwzględnieniu nowych przepisów. Pracodawcy powierzający dane innym podmiotom, powinni mieć na względzie ciążący na nich obowiązek kontroli podmiotu przetwarzającego dane oraz rozszerzony – w porównaniu z dotychczas obowiązującymi przepisami – katalog elementów obligatoryjnych umowy o powierzenie przetwarzania danych.
Potencjalne uchybienia w tym zakresie, mogą prowadzić do szeregu ujemnych konsekwencji, w tym nałożenia wysokich kar pieniężnych.
Autorzy:
aplikant radcowski Piotr Strumiński
radca prawny dr Małgorzata Mędrala
Newsy HR