Outsourcing, czyli korzystanie z usług wyspecjalizowanych podmiotów zewnętrznych, jest powszechnie stosowaną metodą na optymalizację czasu i kosztów pracy. Najczęściej obejmuje usługi z zakresu: księgowości, kadr, szkoleń, usług BHP, administracji systemami informatycznymi, hostingu, audytów wewnętrznych, doradztwa podatkowego, zarządzania środkami trwałymi, zaopatrzenia, zarządzania dokumentacją, niszczenia dokumentacji i nośników danych, obsługi klienta, marketingu, sprzedaży, kontrolingu czy logistyki.
Administratorzy, korzystający z usług zewnętrznych podmiotów, muszą uwzględniać, że wykonanie zlecenia wiąże się najczęściej z koniecznością powierzenia przetwarzania danych osobowych zleceniobiorcy, tj. podmiotowi przetwarzającemu, który realizując umowę podstawową przetwarza na zlecenie i w imieniu administratora dane osobowe niezbędne do jej wykonania.
W porównaniu do wymogów ustawy o ochronie danych osobowych, o których pisaliśmy tutaj, RODO wprowadza bardziej kompleksową regulację umowy powierzenia.
Przede wszystkim przepisy RODO nakładają na administratora obowiązek sprawdzenia, przed dokonaniem powierzenia, czy zleceniobiorca stosuje wystarczające środki gwarantujące bezpieczeństwo powierzanych danych oraz ochronę praw osób, których dane dotyczą, pytania o ochronę danych osobowych należy włączyć w proces oceny potencjalnych kontrahentów.
Na gruncie RODO relacja powierzenia musi zostać uregulowana w umowie albo wynikać z aktu prawnego. Umowa powierzenia musi mieć formę pisemną, przy czym zgodnie z art. 28 ust. 9 RODO, wymóg pisemności spełnia również forma elektroniczna.
Rozporządzenie, w art. 28 ust. 3, wskazuje na kilka elementów, które powinna regulować umowa powierzenia, tj.:
- przedmiot przetwarzania,
- czas trwania przetwarzania,
- charakter i cel przetwarzania,
- rodzaj danych osobowych oraz kategorie osób, których dane dotyczą,
- obowiązki i prawa administratora.
Poza tym podstawowym katalogiem zagadnień umowa powierzenia powinna zobowiązywać podmiot przetwarzający do:
- przetwarzania danych osobowych wyłącznie na polecenie administratora,
- zapewnienia, że osoby upoważnione przez niego do przetwarzania danych osobowych są zobowiązane się do zachowania ich w tajemnicy,
- wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający poziomowi ryzyka naruszenia praw lub wolności osób fizycznych,
- wspomagania administratora w wykonywaniu jego zadań, obejmujących zapewnianie bezpieczeństwa przetwarzania, zgłaszanie naruszeń, prowadzenie oceny skutków i uprzednich konsultacji,
- udostępniania administratorowi wszelkich informacji związanych z przetwarzaniem powierzonych danych osobowych oraz do umożliwiania przeprowadzenia audytów i współdziałania w ich trakcie.
- określonego postępowania z danymi osobowymi po zakończeniu przetwarzania (usunięcie danych, zwrot danych)
Umowa musi także określać sposób oraz zasady korzystania przez podmiot przetwarzający z usług dalszych przetwarzających. W myśl przepisów RODO podpowierzenie jest bowiem możliwe jedynie pod warunkiem uzyskania uprzedniej zgody administratora.
Zgoda może być szczegółowa – wówczas obejmować będzie konkretnego dalszego przetwarzającego, lub blankietowa – bez wskazania danych podprocesorów. W przypadku zgody blankietowej podmiot przetwarzający ma obowiązek informowania administratora o wszelkich zamierzonych zmianach dotyczących dodania nowych podmiotów przetwarzających lub zastąpienia podmiotu, któremu podpowierzył przetwarzanie danych. Administrator może wyrazić sprzeciw wobec proponowanych podprocesorów.
Jeżeli administrator wyrazi zgodę na dalsze powierzanie, wówczas umowa powierzenia powinna nakładać na podmiot przetwarzający obowiązek kontraktowego zobowiązania dalszego przetwarzającego do przestrzegania takich samych obowiązków i zasad, jakie obowiązują samego procesora w relacji z administratorem. W przeciwnym razie, zaniechania dalszego przetwarzającego w tym zakresie wiązać się będą z jego pełną odpowiedzialnością.