Swoje zbiory powierzamy na przykład biuru rachunkowemu, które zapewnia nam obsługę księgową. Dostęp do tych danych ma również firma hostingowa udostępniająca nam serwer pod prowadzenie strony internetowej, na której zbieramy dane. W takich sytuacjach następuje powierzenie przetwarzania danych osobowych - przedsiębiorstwo będące właścicielem bazy danych ma obowiązek dopełnić wszystkich wymaganych przepisami prawa formalności związanych z udostępnieniem zbioru.

 

Outsourcing - zlecanie działań innym podmiotom zewnętrznym w celu np. redukcji kosztów.

 

Najczęstsze sytuacje, w których powierzamy przetwarzanie danych osobowych zewnętrznej firmie:

• Hosting strony internetowej, z której dane osobowe sÄ… zbierane (np. sklep internetowy, forum, strona z zapisem na newsletter, serwer pocztowy, firmowa poczta e-mail itd.)
• Åšwiadczenie usÅ‚ug ksiÄ™gowych
• Åšwiadczenie usÅ‚ug kadrowo-pÅ‚acowych
• Åšwiadczenie usÅ‚ug marketingowych
• Åšwiadczenie usÅ‚ug zwiÄ…zanych z szeroko rozumianym dziaÅ‚em IT
• Korzystanie z zewnÄ™trznych aplikacji internetowych, w których znajdujÄ… siÄ™ dane osobowe
• Podmiocie, któremu powierzamy przetwarzanie danych osobowych (nazwa firmy, adres itd.)
• Celu powierzenia danych
• Zakresie danych osobowych, które powierzamy (nazwa zbioru danych osobowych)

 

Wytyczne dotyczÄ…ce powierzenia przetwarzania danych osobowych znajdujÄ… siÄ™

 

w art. 31 i 31a ustawy z 29 sierpnia 1997 o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926). W przepisie tym czytamy:

Art. 31. 1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.
2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.
4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.
5. Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19.

Art. 31a. W przypadku przetwarzania danych osobowych przez podmioty mające siedzibę albo miejsce zamieszkania w państwie trzecim, administrator danych jest obowiązany wyznaczyć swojego przedstawiciela w Rzeczypospolitej Polskiej.

 

Zgodnie z powyższymi wytycznymi, powierzenie przetwarzania danych osobowych musi być dokonane w formie umowy zawartej na piśmie. Umowa o powierzeniu przetwarzania danych osobowych musi zawierać informacje o:

Zapisy dotyczące powierzenia przetwarzania danych osobowych mogą być częścią składową umowy o świadczeniu usług lub stanowić odrębny dokument. Niektóre firmy mają zapis o powierzeniu standardowo we wzorze zawieranych umów.

Podmiot, któremu powierzamy przetwarzanie danych osobowych, nie staje się automatycznie Administratorem tych danych. Jednak ma takie same obowiązki dotyczące zabezpieczania baz, jak Administrator. Firma ta musi mieć swoją Politykę bezpieczeństwa informacji, Instrukcję zarządzania systemem informatycznym oraz Ewidencję osób upoważnionych do przetwarzania danych osobowych. Ponadto zewnętrzny podmiot musi mieć własnego Administratora Bezpieczeństwa Informacji. W skrócie można powiedzieć, iż firma, której powierzamy przetwarzanie danych osobowych musi przestrzegać wytycznych ustawy o ochronie danych osobowych oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).

Podmiot, któremu powierzamy przetwarzanie danych osobowych z naszej bazy, ponosi taką samą odpowiedzialność za bezpieczeństwo tych danych, co Administrator Danych Osobowych. Należy jednak pamiętać, że zgodnie z art. 31 ust. 4 ustawy, w przypadku naruszenia zasad ochrony danych osobowych przez firmę świadczącą nam usługi odpowiedzialność ponosi zarówno usługodawca, jak i firma powierzająca dane. Jeśli więc po podpisaniu umowy okaże się, iż podmiot wykonujący dla nas outsourcing nie ma wdrożonych środków do ochrony danych osobowych, będziemy ponosić odpowiedzialność za ewentualne szkody wynikające z niespełnienia przez tę firmę wytycznych GIODO. Warto więc jeszcze przed podpisaniem umowy o powierzeniu przetwarzania danych osobowych zorientować się, czy dany usługodawca rzeczywiście prowadzi firmę zgodnie z wytycznymi Generalnego Inspektora.

 

Hosting strony internetowej

 

W niektórych przypadkach zawarcie umowy o powierzenie przetwarzania danych osobowych z firmą świadczącą usługi hostingowe nie jest konieczne. Dzieje się tak w przypadku, gdy korzystamy z serwera dedykowanego - dostęp do takiego serwera mamy wyłącznie my. Firma hostingowa tylko dostarcza nam łącze, natomiast cała obsługa leży po naszej stronie. Hostingodawca jest przy tym zobowiązany do dostarczenia nam wykazu środków używanych do zabezpieczenia serwerów. Jeśli jednak korzystamy z serwera współdzielonego, a hostingodawca może mieć jakikolwiek dostęp do danych osobowych znajdujących się na tym serwerze, umowa o powierzeniu przetwarzania danych osobowych jest konieczna. Już samo wykonywanie kopii zapasowych przez hostingodawcę stanowi przesłankę do zawarcia takiej umowy.

 

Świadczenie usług księgowych

 

W większości sytuacji biuro rachunkowe świadcząc nam usługi księgowe przetwarza dane osobowe naszych klientów. Często też zajmuje się przechowywaniem dokumentów, które te dane zawierają, na przykład faktur. Należy pamiętać, iż zawarcie umowy o powierzeniu przetwarzania danych osobowych z biurem rachunkowym jest konieczne nawet wtedy, gdy posiadany przez nas zbiór nie podlega rejestracji w GIODO. Biuro rachunkowe, z którego usług korzystamy, również powinno mieć wdrożone środki zapewniające bezpieczeństwo przetwarzanych danych.

 

Świadczenie usług kadrowo-płacowych

 

Podobnie jak w przypadku świadczenia usług księgowych, z firmą prowadzącą nasze kadry i płace należy zawrzeć umowę o powierzeniu. Zwykle zarówno pierwsze, jak i drugie usługi świadczy to samo biuro rachunkowe, wystarczy więc zawrzeć jedną umowę.

 

Świadczenie usług marketingowych

 

Zlecanie outsourcingu działań marketingowych zewnętrznym firmom jest bardzo popularne. Nie każdy ma czas i umiejętności, by samemu prowadzić kampanie reklamowe, programy partnerskie itd. Jeśli firma świadcząca usługi marketingowe działa na naszym zbiorze danych osobowych, mamy obowiązek podpisać z nią umowę o powierzeniu. Przykładem takich usług może być zlecenie prowadzenia mailingu na własnym zbiorze danych. Sporo przedsiębiorstw zleca innym firmom wysyłkę gadżetów reklamowych do swoich klientów lub prowadzenie programu partnerskiego. Jedną z powszechnych praktyk jest też korzystanie z usług call-center, np. telemarketingu lub działu obsługi klienta.

Warto przy tym podkreślić, iż umowy o powierzenie nie trzeba zawierać z firmą świadczącą usługi marketingowe, która korzysta z własnych baz danych.

 

Świadczenie usług związanych z szeroko rozumianym działem IT

 

JeÅ›li korzystamy z usÅ‚ug firmy, która w jakikolwiek sposób ma dostÄ™p do komputerów, na których przechowujemy dane osobowe, mamy obowiÄ…zek zawrzeć z niÄ… umowÄ™ o powierzeniu. Taka sytuacja ma miejsce na przykÅ‚ad  wtedy, gdy zewnÄ™trzna firma zapewnia nam obsÅ‚ugÄ™ serwera dedykowanego lub wirtualnego. Podobnie w przypadku serwisowania sprzÄ™tów komputerowych, na których znajdujÄ… siÄ™ zbiory danych osobowych podlegajÄ…cych ochronie. Wiele firm informatycznych oferuje pomoc zdalnÄ… - udostÄ™pniamy specjaliÅ›cie dostÄ™p do naszego pulpitu, a specjalista stara siÄ™ rozwiÄ…zać problem, który wystÄ…piÅ‚ - w takim przypadku zewnÄ™trzna firma również ma dostÄ™p do danych osobowych, które przechowujemy na komputerze - zawarcie umowy o powierzeniu jest konieczne. W dobie rozwoju techniki takich przypadków może być coraz wiÄ™cej, dlatego warto zastanowić siÄ™, czy firma informatyczna, z której usÅ‚ugi chcemy skorzystać, bÄ™dzie miaÅ‚a nawet potencjalny dostÄ™p do zbiorów danych osobowych podlegajÄ…cych ochronie.

 

Korzystanie z zewnętrznych aplikacji internetowych, w których znajdują się dane osobowe

 

Sporo przedsiębiorstw korzysta z różnych aplikacji internetowych, np. autorespondera, programów do prowadzenia księgowości on-line czy abonamentowych platform sklepów internetowych. Wprawdzie korzystając z takich aplikacji sami pracujemy na swoich danych, jednak firma, która udostępnia nam tę aplikację, ma dostęp do danych, które wprowadzamy. Poza tym podmioty te zazwyczaj prowadzą działania mające na celu utrzymanie usługi, np. wykonują kopie bezpieczeństwa. W takich przypadkach również konieczne jest zawarcie umowy o powierzenie przetwarzania danych osobowych z firmą udostępniającą aplikację.