Organizacja, która zdecyduje się powierzyć obsługę kadrowo-płacową, zewnętrznemu podmiotowi musi zadbać o właściwe zabezpieczenie danych osobowych.
Ustawa o ochronie danych osobowych (art. 31 ust. 1) mówi, że administrator danych może powierzyć innemu podmiotowi w drodze umowy zawartej na piśmie przetwarzanie danych. Na tej podstawie, w zakresie wyznaczonym umową i dla podmiotu, który jest stroną umowy, outsourcer może zatem przetwarzać te zbiory, o ile wcześniej zastosuje środki zabezpieczające owe dane. Środki, z jakich może w tym celu skorzystać, zostały wskazane w art. 36-39 ustawy oraz w rozporządzeniu wykonawczym (art. 39a). Tym samym ustawodawca potraktował outsourcera na równi z administratorem danych. Zrównanie odpowiedzialności podmiotów przetwarzających dane z odpowiedzialnością administratorów dotyczy tylko kwestii uregulowanych we wskazanych przepisach; nie rozciąga się jednak na inne zagadnienia, np. obowiązek zapewnienia legalności samego przetwarzania.
Zapisy umowy
Umowa o świadczenie usług powinna zawierać zobowiązanie zleceniobiorcy do zabezpieczenia zbioru danych w sposób określony w art. 36-39 a wspomnianej wcześniej ustawy oraz do wykonywania wszelkich czynności na rzecz zleceniodawcy z należytą starannością.
Podmiot, który przyjmuje od administratora „zlecenie przetwarzania danych” może wykonywać działania na zbiorach wyłącznie w zakresie i celu przewidzianym umową (chodzi głównie o rodzaj danych). Celem outsourcera jest wykonanie określonych między stronami zadań, natomiast zakres obejmuje dane osobowe zawarte w zbiorach o wymienionych nazwach. Wykroczenie poza umownie wytyczony zakres lub cel nie tylko narusza warunki umowy, ale też samą ustawę.
W razie jakiejkolwiek kontroli obejmującej zgodność przetwarzania danych z przepisami o ochronie danych osobowych i stwierdzeniu uchybień w tym zakresie, może zostać wdrożone postępowanie karne przeciw osobie, której powierzono te zadania.
Kolejną ważną kwestią, którą strony powinny uwzględnić w umowie, jest określenie sposobu przetwarzania danych osobowych, aby zleceniobiorca mógł zrealizować postawione przed nim cele. Przetwarzanie może polegać na zbieraniu, utrwalaniu, przechowywaniu, opracowywaniu, zmienianiu, udostępnianiu lub/i usuwaniu danych, zwłaszcza w odniesieniu do systemów informatycznych.
Sprawdź Outsourcing kadr i płac Grant Thornton
Odpowiedzialność outsourcera
Odpowiedzialność za przestrzeganie przepisów Ustawy reguluje art. 31 (tejże ustawy), natomiast pozostałą odpowiedzialność, przede wszystkim cywilną, normują ogólne reguły. Na zasadach ogólnych odpowiadają zatem administrator i podmiot przetwarzający dane osobowe z tytułu naruszenia dóbr osobistych (art. 23 i 24 k.c.). Podobnie kodeks cywilny jest podstawą do ustalenia odszkodowania związanego z bezprawnym przetwarzaniem danych. W tym ostatnim przypadku może zaistnieć odpowiedzialność administratora danych na zasadzie ryzyka, jeżeli spełniona będzie hipoteza art. 429 lub 430 k.c.
Jeśli chodzi o odpowiedzialność karną, zdanie GIODO jest następujące: „za przestrzeganie przepisów ustawy odpowiada administrator danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę o przekazaniu przetwarzania danych za przetwarzanie ich niezgodne z tą umową. W związku z tym, dopóki zleceniobiorca przetwarza dane w granicach umowy, ponosi odpowiedzialność wyłącznie wobec administratora danych. Jeżeli jednak, oprócz wykonywania czynności określonych w umowie, umyślnie dopuści się przetwarzania danych, których przetwarzanie nie jest dopuszczalne, albo do których przetwarzania nie był uprawniony, naruszy przepis art. 49 ust. 1 Ustawy, określający sankcje karne i będzie musiał ponieść wszelkie wynikające z tego konsekwencje”.
Regulacje dotyczące kontroli zgodności przetwarzania danych i wydawania decyzji pokontrolnych (art. 14-19 Ustawy) stosuje się odpowiednio do przetwarzania danych przez podmiot, któremu administrator je powierzył. Na podstawie zmienionego art. 18 Ustawy, decyzje Generalnego Inspektora mogą być obecnie kierowane również do podmiotów niebędących administratorami danych, w tym również do podmiotów przetwarzających je na podstawie umowy z administratorem. Nakaz „odpowiedniego” stosowania przepisów oznacza, że w postępowaniu kontrolnym, a zwłaszcza przy wydawaniu decyzji, powinna być uwzględniona specyfika przetwarzania danych wynikająca z umowy.
Środki ostrożności
Zważywszy na wspólną odpowiedzialność administratora danych i podmiotu przetwarzającego, z punktu widzenia tego pierwszego, warto zobowiązać zleceniobiorcę do zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz nieuprawnioną zmianą, utratą, uszkodzeniem lub zniszczeniem.
Z kolei usługodawca powinien zwrócić szczególną uwagę na sposób i termin przekazania zbiorów danych osobowych. Ich przekazanie powinno odbyć się przy udziale upoważnionych przedstawicieli stron, którzy na ta okoliczność sporządzą protokół zdawczoodbiorczy.
Realizacja usługi powinna również zostać szczegółowo uregulowana w umowie. Warto, aby znalazły się w niej zapisy dotyczące współpracy administratorów bezpieczeństwa informacji, nazwiska osób upoważnionych do realizacji umowy oraz zasady ich przeszkolenia oraz zobowiązanie pracowników usługobiorcy do zachowania w tajemnicy przetwarzanych danych również po ustaniu zatrudnienia.
Umowa powinna także przewidywać sposób postępowania z danymi po zakończeniu świadczenia usługi przez outsourcera. Zleceniodawca może zastrzec, że wszystkie powierzone dane osobowe oraz kopie, zleceniobiorca w terminie określonym umową zwróci zleceniodawcy lub na jego polecenie trwale zniszczy (czyli w taki sposób, aby niemożliwe było ich odczytanie i odtworzenie).
