Zlecanie usług podmiotom zewnętrznym często wiąże się z dostępem do danych znajdujących się w dyspozycji firmy. Gdy przekazywane do wykonania działania wiążą się z danymi osobowymi, konieczne jest sięgnięcie po regulacje wynikające z Ustawy o ochronie danych osobowych.
Wymogi związane z realizacją kontraktów wiążących się z dostępem do danych osobowych określa w szczególności art. 31 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Zgodnie z nim administrator danych ma możliwość powierzenia przetwarzania ich innemu podmiotowi, w drodze umowy zawartej na piśmie. Regulacja ta znajduje szerokie zastosowanie zwłaszcza w projektach wykorzystujących nowe technologie, gdzie praktycznie każda aplikacja informatyczna wykorzystywana w przedsiębiorstwie wiąże się z dostępem do danych osobowych.
Chodzi tu także o mniej oczywiste sytuacje, kiedy przedsiębiorcy nie w pełni zdają sobie sprawę z oceny prawnej działań podwykonawców. Przykładem może być przechowywanie strony internetowej na serwerach firmy zewnętrznej, gdzie udostępnia się formularz kontaktowy do przesyłania przez zindywidualizowane (podpisane) osoby zapytań czy reklamacji. Ogólna definicja przetwarzania danych osobowych zawarta w ustawie wskazuje, że każda operacja (w tym zapisanie, odczytywanie czy przesyłanie) na danych osobowych stanowi ich przetwarzanie, tym samym nawet działania pozornie nieistotne podlegają jej przepisom.
Dlatego przedsiębiorca, który korzysta z aplikacji zewnętrznych związanych z przechowywaniem danych czy choćby czynnościami administracyjno-rozwojowymi, winien pamiętać o obowiązku zawarcia z podwykonawcą umowy przetwarzania danych osobowych. Umowa taka nie zwalnia firmy z obowiązków związanych z ochroną danych osobowych ani nie wyłącza odpowiedzialności za działania zleceniobiorcy. Jednak obok czysto „administracyjnego” wymogu jej zawarcia, wiąże się z możliwością uregulowania zakresu odpowiedzialności cywilnoprawnej wiążącej się z ewentualnymi zaniedbaniami czy też naruszeniami prawa przez outsourcingobiorcę. Powyższe kwestie znajdują odzwierciedlenie w standardowych zapisach dotyczących kar umownych, zakresu odpowiedzialności czy choćby zaplecza ludzkiego.
Z racji niewielkiego rozpowszechnienia tego typu umów wśród przedsiębiorców, firmy nierzadko stają przez problemem prawidłowego ich skonstruowania, co jednak wobec lakonicznych zapisów ustawy nie nastręcza (za wyjątkiem prawidłowego określenia zakresu odpowiedzialności czy kar umownych) wielu problemów. Regulacja wskazuje bowiem, że tego typu umowa powinna spełniać co do zasady trzy wymogi: musi być zawarta na piśmie, określać zakres (jakie dane i w jaki sposób przetwarzane) oraz cel przetwarzania (np. dla celów hostingu strony internetowej).
Sprawia to, że najprostsza umowa przetwarzania danych osobowych, czy też klauzula zawarta w innej umowie (np. paragraf dotyczący powierzenia przetwarzania danych osobowych w umowie zawartej z informatykiem obsługującym sieć firmową), może ograniczyć się do kilku postanowień.
W takim przypadku umowa powinna zawierać co do zasady przynajmniej cztery punkty:
- określający fakt powierzenia przetwarzania danych i zgody przyjmującego przetwarzanie,
- wskazujący, jakie dane mają być powierzone (w tym ogólne określenie, jak „całość danych zawartych w Zbiorze danych osobowych XYZ”),
- wskazujący zakres przetwarzania, np. archiwizowanie,
- wskazujący cel, np. wykonanie umowy nadzoru nad działalnością aplikacji informatycznej ABC.
Sebastian Wojdył, radca prawny, Chałas i Wspólnicy Kancelaria Prawna, Oddział w Gdańsku
