Outsourcing danych osobowych w zgodzie z RODO - część II

Sytuacja przedsiębiorstw powierzających przetwarzanie danych osobowych innym podmiotom ulegnie diametralnej zmianie po wejściu w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne Rozporządzenie o ochronie danych) z dnia 27 kwietnia 2016 r. (Dz.Urz.WU.L Nr 119, str. 1), zwanego dalej „RODO”.

Już od dnia wejścia w życie RODO, a więc od dnia 25 maja 2018 r., przedsiębiorstwa decydujące się na powierzanie przetwarzania danych osobowych firmom outsourcingowym będą musiały legitymować się odpowiednio dostosowanymi procedurami w tym zakresie.

Co z istniejącymi umowami? Klauzule, które warto i trzeba zawrzeć w umowie z podmiotem świadczącym usługi outsourcingowe.

W chwili obecnej, w celu powierzenia przetwarzania danych osobowych przez Administratora danych, podmioty korzystające z możliwości przewidzianej w art. 31 ustawy o ochronie danych osobowych (uodo), zawierały umowy o przetwarzanie danych osobowych. Zgodnie z postanowieniami art. 31 ust. 1 uodo, umowa powierzenia przetwarzania danych osobowych powinna zostać zawarta w formie pisemnej. Należy jednak wskazać, że równoważne formie pisemnej będzie oświadczenie złożone w postaci elektronicznej, opatrzone bezpiecznym podpisem elektronicznym, który wywołuje takie same skutki, jak podpis własnoręczny.

W uodo nie ma jednak szczegółowych wymagań w zakresie powierzenia przetwarzania danych osobowych. Mimo to, praktyka wypracowała zbiór zapisów, które na gruncie obecnie obowiązujących przepisów prawa powinny znaleźć się w umowie o przetwarzanie danych osobowych. Do tego zbioru należy zaliczyć m.in.:

• kary umowne w związku z naruszeniem postanowień umowy powierzenia danych lub przepisów prawa obowiązujących w zakresie ochrony danych osobowych;
• wprowadzenie obowiązku zgłaszania Administratorowi danych wszelkich incydentów związanych z przetwarzaniem danych mogących mieć wpływ na bezpieczeństwo ich przetwarzania;
• wprowadzenie zapisu dotyczącego możliwości przeprowadzenia audytu działalności podmiotu przetwarzającego dane osobowe w zakresie zgodności przetwarzania danych osobowych
  z odpowiednimi przepisami prawa;
• obowiązek złożenia pisemnego oświadczenia o zwrocie/usunięciu wszelkich powierzonych danych osobowych przez podmiot przetwarzający po zakończeniu obowiązywania umowy.

Niewątpliwie, od dnia 25 maja 2018 r. umowy powinny zostać zweryfikowane i aneksowane, ponieważ RODO znacząco rozszerza zakres podstawowych zapisów, które będą musiały się znaleźć w umowie powierzenia danych. Umowa powierzenia musi mieć przy tym formę pisemną, w tym może mieć formę elektroniczną. Należy wskazać, że forma elektroniczna dopuszcza składanie oświadczenia woli za pomocą poczty
e-mail, czy np. z wykorzystaniem elektronicznego nośnika informacji,( którym może być pendrive, pyta CD). Jednakże trzeba zakładać, że przeważającą formą zawierania umów powierzenia będzie w dalszym ciągu forma pisemna.

W odniesieniu do samej treści umowy o powierzeniu danych do przetwarzania - RODO stawia wymóg aby określała ona:

• przedmiot i czas trwania przetwarzania;
• charakter i cel przetwarzania;
• rodzaj danych osobowych oraz kategorie osób, których dane dotyczą;
• obowiązki i prawa administratora.

W zakresie zaś obowiązkowych klauzul wspomniany już art. 18 RODO, przewiduje następujące zapisy:

• przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora danych (co dotyczy też ewentualnego przekazywania danych osobowych do państwa trzeciego, chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający - w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny);
• zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
• podejmuje wszelkie środki wymagane na mocy art. 32 RODO;
• przestrzega warunków korzystania z usług innego podmiotu przetwarzającego (podwykonawcy);
• biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Administratorowi danych poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO;
• uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi danych wywiązać się z obowiązków określonych w art. 32–36 RODO;
• po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji Administratora danych usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują dalsze przechowywanie tych danych osobowych;
• udostępnia Administratorowi danych wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia Administratorowi lub audytorowi upoważnionemu przez Administratora danych przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. 

Zakres informacji, o którym mowa powyżej będzie się mógł znaleźć – tak jak dotychczas – w umowie powierzenia danych, albo w innym instrumencie prawnym. Wydaje się, że w momencie wejścia w życie RODO podstawowym instrumentem w zakresie powierzenia danych w dalszym ciągu będzie umowa powierzenia. Wartym zaznaczenia jest fakt, że umowa musi zostać zawarta w formie pisemnej, w tym również może mieć formę elektroniczną.

Jednocześnie należy zauważyć, że wskazany w art. 28 RODO, podobnie jak art. 31 uodo, zawiera minimalny katalog warunków jakie powinna zawierać umowa lub inny instrument prawny, na mocy którego następuje powierzenie przetwarzania danych osobowych. To w interesie zarówno Administratora danych, jak również podmiotu przetwarzającego jest, aby ułożyć łączący ich stosunek prawny w sposób możliwie pełny, poprzez stosowanie możliwie najbardziej pełnych regulacji. Stosowanie takiego podejścia jest również uzasadnione z punktu widzenia osób, których dane są powierzane do przetwarzania.

Ostatnią rzeczą wartą podniesienia jest fakt, że w odniesieniu do istniejących umów równie ważną kwestią jest nie tylko weryfikacja ich zawartości, ale również strony, z którą Administrator danych zawarł umowę powierzenia danych. RODO wymaga bowiem, aby podmiot przetwarzający dane osobowe zapewniał wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

Autor: Karol Warzecki, Senior Associate w Deloitte Legal