Od blisko dziesięciu lat w Polsce rozwija się rynek outsourcingowy (ang. outside-resource-using), dzięki takim atutom jak: bliskość kulturowa z krajami Zachodu, wysoki poziom edukacji, a także szeroki zakres znajomości języków obcych, obecnie możemy swobodnie konkurować nie tylko z podmiotami z obszaru Europy Środkowo – Wschodniej, ale również z krajów Azji.
Optymalizacja działalności poprzez korzystanie z takich rozwiązań stało się bardziej powszechne nie tylko wśród zagranicznych przedsiębiorstw, ale również wśród rodzimych firm – jak wskazuje Główny Urząd Statystyczny populacja podmiotów świadczących usługi biznesowe w 2014 r. wzrosła o 4,6% procent w porównaniu do roku poprzedniego. Na rosnącą popularność outsourcingu wskazywał także Generalny Inspektor Ochrony Danych Osobowych w swoim sprawozdaniu z działalności w 2014 r.
Do najbardziej popularnych obszarów działalności w tej grupie należą przedsiębiorstwa świadczące między innymi: usługi informatyczne – w tym przede wszystkim w zakresie oprogramowania, hostingu oraz przetwarzania danych, doradztwo prawne i podatkowe, obsługę rachunkowo-księgową, usługę zarządzania, usługi inżynieryjne i architektoniczne oraz reklamowe.
Chociaż dominującą praktykę w takich sytuacjach stanowi zawieranie skrupulatnie przygotowanej umowy, kwestie ochrony danych osobowych niejednokrotnie pozostają nierozstrzygnięte.
Na wstępie należy rozważyć, czy przekazując zadanie na zewnątrz, usługobiorca będzie miał dostęp do danych osobowych przetwarzanych w naszej firmie. Z dostępem do danych będziemy mieć z pewnością do czynienia, w przypadku usług: HR, hostingu, rachunkowo – księgowych, czy doradztwa prawnego. O dostępie do naszych danych niekiedy będziemy mogli mówić w przypadku dostawców systemów informatycznych, bądź odnośnie usług kurierskich.
W przypadku, gdy dojdziemy do przekonania, że podmiot wykonujący usługi na naszą rzecz będzie miał dostęp do danych, będziemy zobligowani, jako administratorzy danych, do zawarcia tzw. umowy powierzenia przetwarzania danych, zgodnie z artykułem 31 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: Ustawa). Przepis ten przewiduje, aby powierzenie zawarte zostało w formie pisemnej. Odnośnie zaś wymogów dotyczących samej treści umowy, ustawa stanowi, że powinna ona określać co najmniej zakres i cel powierzenia. Ze względu na fakt, iż tak istotna instytucja została uregulowana w sposób bardzo ogólny, stronom pozostawiono duży margines swobody kontraktowej.
Zatem rozważyć należy, na jakie aspekty należy zwrócić uwagę przygotowując konstrukcję powierzenia oraz, w jaki sposób je uregulować.
Podobnie jak w przypadku standardowych umów zlecenia, na wstępie warto zadbać o to, aby podmiot, który będzie przetwarzał dane na nasze zlecenie (tzw. procesor) złożył oświadczenie o znajomości i stosowaniu przepisów regulujących ochronę danych osobowych.
Następnie warto uregulować kwestie wymagane samymi przepisami, a co za tym idzie określić zakres i cel przetwarzania danych. W zależności od złożoności stosunku zobowiązaniowego, administrator danych może określić kwestie te w sposób ogólnikowy albo dokładny. W ramach uregulowania kwestii zakresu danych należy dookreślić katalog powierzanych danych osobowych oraz wskazać, jakie operacje może procesor dokonywać na nich np. tylko wgląd do danych w formie elektronicznej, wprowadzanie ich do systemów informatycznych procesora, itp. Analogiczne rozwiązanie można przyjąć określając cel powierzenia danych, a zatem można określić, że procesor będzie przetwarzać dane dla celów związanych z wykonaniem umowy, z drugiej zaś strony można szczegółowo określić katalog zadań, które będą wymagać przetwarzania danych.
Chociaż zgodnie z art. 31 Ustawy procesor jest zobowiązany do podjęcia, przed rozpoczęciem przetwarzania danych, środków zabezpieczających określonych w Ustawie i przepisach wykonawczych, zalecane jest szczegółowe uregulowanie tych kwestii, dzięki czemu administrator danych może determinować poziom przyjętych zabezpieczeń.
Niejednokrotnie dostawcy usług, wykonując swoje zadania, korzystają z pomocy podwykonawców. Należy pamiętać, że pomoc ta może również wiązać się z dostępem do danych, a zatem w konstrukcji powierzenia warto również zawrzeć postanowienia dotyczące tzw. podpowierzenia. W zależności od potrzeb i rodzaju danych osobowych, które administrator powierza, może on, według uznania, zakazać zlecania czynności, które związane byłyby z dalszym powierzeniem danych albo może zobowiązać swojego kontrahenta do zawarcia umowy podpowierzenia, która stanowiłaby poziom ochrony odpowiadający postanowieniom umowy powierzenia. Jest to o tyle istotne, że w przypadku, gdy w umowie nie uregulujemy tych kwestii, procesor będzie uprawniony do zawierania takich umów wedle własnego uznania.
Niemal każda konstrukcja umowy biznesowej zawiera postanowienia odnoszące się do poufności danych. Pomimo iż przedsiębiorcy dbają o zachowanie w tajemnicy informacji związanych z tajemnicą przedsiębiorstwa, niejednokrotnie zapominają o tym, aby zobowiązać usługobiorcę oraz wszystkich jego pracowników i współpracowników, do zachowania w tajemnicy danych osobowych, jak również informacji o sposobach ich zabezpieczeń. Równie często spotykanym niedopatrzeniem jest brak zakreślenia ram czasowych dla klauzuli poufności. Najbardziej zalecanym rozwiązaniem jest zobligowanie do zachowania poufności przez czas nieokreślony.
Zgodnie z artykułem 31 Ustawy procesor jest współodpowiedzialny za dane, które zostały mu powierzone. Przedmiotowy zakres odpowiedzialności mieści się w zakresie powierzenia danych oraz ich zabezpieczenia. Niezależnie od odpowiedzialności ustawowej administrator danych może uregulować kwestie odpowiedzialności odpowiednio do swoich potrzeb. Można przyjąć, na przykład, rozwiązanie polegające na tym, że w przypadku niewykonania lub nienależytego wykonania postanowień umownych, procesor będzie zobowiązany do zapłaty określonej kary umownej. Warto mieć w takim przypadku zwrócić uwagę, czy umowa przewiduje możliwość dalszego powierzenia danych, a co za tym idzie, zastanowić się, czy rozszerzyć odpowiedzialność procesora także na działania podwykonawców.
Na zakończenie warto zawrzeć dyspozycje dotyczące zakończenia stosunku umownego, administratorzy danych mogą, zasadniczo, skorzystać z jednego z dwóch rozwiązań. Mianowicie mogą zobowiązać procesorów do usunięcia albo zwrotu danych. Opracowując stosowne zapisy należy pamiętać, ze jeśli istnieje możliwość podpowierzenia, to odpowiednio powinniśmy zobowiązać do zwrotu albo usunięcia danych przez podwykonawców. Dla maksymalnego zabezpieczenia interesów administratora danych zapis ten powinien precyzyjnie wyznaczać okres czasu, w którym procesor powinien wywiązać się z niniejszego zadania, a także nakazać usługodawcy usunięcie danych oraz ich kopii zapasowych. Natomiast w przypadku zobligowania procesora do zwrotu danych, warto określić, w jaki sposób zwrot ma nastąpić, np. w formie zaszyfrowanego pliku zapisanego na płycie CD.
W umowie powierzenia możemy zawrzeć także inne, fakultatywne, zapisy. Przede wszystkim warto dokładnie ustalić sposób wykonywania przez administratora danych uprawnień kontrolnych. Strony mogą przewidzieć, że procesor będzie, w ramach kontroli, zobligowany do udostępnienia pomieszczeń, w których przetwarzane są powierzone mu dane zarówno pracownikom usługobiorcy jak również pracownikom podmiotów zewnętrznych działających na zlecenie administratora. Ponadto strony mogą uzgodnić sposób uzgodnienia terminu kontroli np. w formie e-mail, pisemnej. Co więcej uprawnienia kontrolne, na analogicznych zasadach, można zastrzec także wobec podwykonawców. Dodatkowo kontrahenci powinni rozważyć, czy wynagrodzenie za usługi obejmuje także czynności związane z przetwarzaniem danych.
Instytucja powierzenia przetwarzania danych innemu podmiotowi należy do jednych z kluczowych instytucji prawa, której znaczenie będzie niewątpliwie rosnąć, ze względu na nieustanny rozwój rynku usług biznesowych, tym bardziej warto poświecić jej dużo uwagi, przy zawieraniu umowy.
