Outsourcing i dane osobowe – powierzenie przetwarzania danych osobowych | IPblog - o prawie własności intelektualnej i nowych technologii

Dziś każdy, nawet najmniejszy biznes nie poradzi sobie bez pomocy zewnętrznego specjalisty – informatyka, marketingowca lub prawnika. Na pewno Wy również korzystacie z tego typu rozwiązań w swojej działalności. Pytanie, czy wówczas nie przekazujecie osobom trzecim danych osobowych, którymi administrujecie?

Outsourcing

Wydzielenie ze struktury przedsiębiorstwa części procesów, zwykle pobocznych wobec głównego przedmiotu jego działalności, określa się mianem outsourcingu. Podmiot zewnętrzny może wspierać nasz biznes w każdym aspekcie, począwszy od produkcji prefabrykatów, po świadczenie usług księgowo-kadrowych, obejmujących np. prowadzenie procesów rekrutacyjnych, a także wyliczanie i wypłatę wynagrodzeń.

Na pierwszy rzut oka można nie dostrzec problemów, które związane są z outsourcingiem procesów. Zauważmy jednak, że często wiązać się on będzie z koniecznością udostępnienia przetwarzanych przez nas danych osobowych – dokumentacji pracowniczej, stworzonych na własne potrzeby list mailingowych czy wykazu dłużników. Czy mamy prawo tak swobodnie dysponować tymi danymi?

Oczywiście, podmiot któremu przekazujemy dane wykorzystywać je będzie wyłącznie do świadczenia usług na naszą rzecz. Dlaczego więc mielibyśmy się tym przejmować? Przecież spełniliśmy wszystkie wymogi przepisów o ochronie danych osobowych i odpowiednio chronimy dane!

Trzeba pamiętać, że takie przekazanie danych jest dopuszczalne, lecz pod pewnymi warunkami. Określa je art. 31 ustawy o ochronie danych osobowych, gdyż mówiąc o outsourcingu, mówimy o powierzeniu przetwarzania danych osobowych.

Powierzenie przetwarzania danych

Administrator może przetwarzać dane samodzielnie (samo pojęcie przetwarzania danych opisywałem tutaj – chodzi o wszelkie operacje na danych osobowych) lub zlecić tę czynność innemu podmiotowi. W tym drugim przypadku ten, komu powierzono przetwarzanie danych nie staje się ich nowym administratorem, gdyż przede wszystkim nie decyduje o tym co dziać się będzie z danymi i działa wyłącznie w granicach zakreślonych mu z góry przez administratora.

Powierzenie musi nastąpić na podstawie pisemnej umowy o powierzeniu. Określa ona powierzone dane, cel ich przetwarzania, a także jego zakres. I tak, zlecić możemy każdą operację na danych, począwszy od ich gromadzenia (np. przez agencje marketingowe lub zewnętrzne firmy HR), aż po ich usunięcie (np. poprzez utylizację papierowej dokumentacji zawierającej dane osobowe, jak i trwałe usuwanie danych z dysków twardych firmowych komputerów, w sposób uniemożliwiający ich odzyskanie przez osoby nieupoważnione).

Oczywiście umowa powierzenia przetwarzania danych może przybrać formę odpowiedniej klauzuli umownej. Z tej możliwości korzysta się w praktyce nadzwyczaj często. Umowy o świadczenie usług IT, usług księgowych czy zlecenia stałej obsługi prawnej najczęściej zawierają odpowiednie postanowienia dotyczące powierzenia danych. Ważne jednak, aby umowa zawarta została na piśmie!

Z jednej strony mamy obowiązek administratora, który cały czas odpowiada za powierzone dane. Co jednak z podmiotem, który dane otrzymał? Czy on też powinien spełnić jakies dodatkowe wymogi?

Przede wszystkim przetwarzający dane na zlecenie musi odpowiednio te dane zabezpieczyć. Oznacza to, że w praktyce musi spełnić w tym zakresie takie same wymogi jak administrator danych – stworzyć system upoważnień oraz stosować odpowiednie procedury i środki techniczne. Za dopełnienie tych wymogów przetwarzający na zlecenie odpowiada na równi z administratorem!

Dobrze… ale po co?

Jest jeden podstawowy argument, aby zadbać o odpowiednie powierzenie przetwarzania danych osobowych – ryzyko poniesienia odpowiedzialności karnej. Trzeba pamiętać, że ustawa o ochronie danych osobowych to również przepisy karne, określające katalog kar, które grozić mogą administratorim, którzy nie dopełnią obowiązków nałożonych na nich przez ustawę.

I tak, zgodnie z art. 51 ustawy, administrator udostępniający dane podmiotom do tego nieuprawnionym, a więc np. podmiotom z którymi nie zawarł odpowiednich umów powierzenia, musi liczyć się z możliwością poniesienia kary w postaci grzywny, ograniczenia wolności, a nawet pozbawienia wolności do lat 2!

Warto więc zweryfikować, czy umowy, które zawarliśmy z podmiotami zewnętrznymi – naszym księgowym, informatykiem lub prawnikiem – zawierają odpowiednie postanowienia. Jeśli nie, najwyższy czas pomyśleć o ich aneksowaniu…

Data 09/03/2015 14:39

Kategorie Ochrona danych osobowych

Nowe wersje artykułu można śledzić w kanale RSS "Wpisy"
Najnowsze komentarze są dostępne w kanale RSS "Komentarze"

Autor artykułu - Jarek Góra

Pokaż wszystkie posty napisane przez Jarek Góra

Outsourcing i dane osobowe – powierzenie przetwarzania danych osobowych

Autor artykułu - Jarek Góra

Dodaj komentarz Anuluj pisanie odpowiedzi

Szukaj na stronie

Tematy główne

Najpopularniejsze artykuły

Najnowsze komentarze

Historia bloga

Tagi

Newsletter

Warto zobaczyć