0

Koszyk

Nowe wytyczne EROD dotyczące powierzenia danych osobowych a umowy IT

Nowe wytyczne EROD dotyczące powierzenia danych osobowych a umowy IT

8 listopada 2024 15 listopada, 2024

Korzystanie z usług wykonawców IT do realizacji różnego rodzaju projektów często idzie w parze z koniecznością udostępnienia zewnętrznej firmie bazy danych osobowych klientów. Wiąże się to z ryzykiem naruszenia przepisów RODO, dlatego warto na taką sytuację przygotować się z wyprzedzeniem. Jak zadbać o ochronę danych osobowych w umowach IT zgodnie z nowymi wytycznymi Europejskiej Rady Ochrony Danych (EROD)?

Newsletter bloga Umowy w IT .
Spis treści

Kiedy dochodzi do przetwarzania danych osobowych przez firmę IT?

Choć może się wydawać, że o przetwarzaniu danych osobowych mówi się jedynie w kontekście ich aktywnego wykorzystania, unijny ustawodawca definiuje pojęcie przetwarzania niezwykle szeroko. Stosownie do brzmienia art. 4 pkt 2 rozporządzenia RODO oznacza to operację lub zestaw operacji dokonywanych w sposób zautomatyzowany lub niezautomatyzowany danych osobowych, w tym ich zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie oraz samo przeglądanie.

W praktyce więc każde działanie firm IT polegające np. na migracji danych, integracji oprogramowania ERP i CRM, utrzymaniu serwerów czy rozbudowie strony internetowej będzie skutkowało przetwarzaniem danych osobowych. Administrator jest zobowiązany do zapewnienia należytego standardu ochrony tych danych na wszystkich etapach współpracy z dostawcą usług IT.

Sprawdź również: Powierzenie przetwarzania danych osobowych w projektach IT

Zamów wzory umów!

Zawarcie umowy powierzenia przetwarzania danych z dostawcą usług IT

Aby firma IT mogła zgodnie z prawem przetwarzać dane osobowe osób fizycznych w imieniu administratora, niezbędne jest zawarcie z nią umowy powierzenia przetwarzania tych danych. Minimalna treść umowy powierzenia została określona w art. 28 RODO. Zgodnie z tym przepisem powinna ona określać przynajmniej, że podmiot przetwarzający:

  • przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora,
  • zobowiązuje osoby, przy pomocy których realizuje swoje zadania, do zachowania danych osobowych w tajemnicy,
  • podejmuje działania zmierzające do zapewnienia bezpieczeństwa danych osobowych, m.in. poprzez ich pseudonimizację, szyfrowanie oraz zapewnienie odporności systemów informatycznych,
  • wspiera administratora w zakresie realizacji jego obowiązków względem osób, których dane dotyczą, a także względem organów regulacyjnych,
  • udostępnia administratorowi informacje pozwalające na przeprowadzenie audytów oraz inspekcji,
  • po zakończeniu świadczenia usług usuwa dane osobowe lub zwraca je administratorowi wraz z kopiami, chyba że prawo państwa członkowskiego nakazuje ich usunięcie.

Dodatkowo warto pamiętać, że – zgodnie z motywem 81 RODO – przetwarzanie danych osobowych może być powierzone wyłącznie podmiotom zapewniającym gwarancję, jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby, które wprowadziły odpowiednie środki techniczne i organizacyjne pozwalające na skuteczne stosowanie przepisów rozporządzenia. Wymagania dotyczące przetwarzania mają szczególnie duże znaczenie z punktu widzenia najnowszych wytycznych EDPB.

Nowe wytyczne EDPB dotyczące powierzenia danych

Na początku października 2024 roku Europejska Rada Ochrony Danych (ang. European Data Protection Board, EDPB) przyjęła opinię w sprawie podmiotów przetwarzających. Przede wszystkim EDPB zwraca uwagę, że administrator powinien mieć w każdej chwili łatwy dostęp do informacji o wszystkich podmiotach przetwarzających oraz subprocesorach. W szczególności chodzi o wskazanie imienia i nazwiska lub nazwy, adresu lub siedziby oraz osoby kontaktowej takiego podmiotu.

Co więcej, sugeruje się, że administrator powinien za każdym razem weryfikować gwarancje przedstawiane przez procesora lub subprocesora, niezależnie od ryzyka naruszenia praw i wolności osób, których dane dotyczą. Wymiar takiej oceny powinien być każdorazowo dopasowany do zidentyfikowanych ryzyk.

EDPB wskazuje, że choć to procesor powinien zaproponować subprocesora spełniającego odpowiednie gwarancje techniczne i organizacyjne, to na administratorze danych spoczywa ostatecznie ciężar podjęcia decyzji, czy daną współpracę nawiązać, czy też nie. Nie ma on jednak obowiązku każdorazowego żądania od procesora umowy podpowierzenia w celu weryfikacji, czy stosowne obowiązki zostały właściwie oddelegowane. Powinien jednak dokonać oceny, czy takie działanie jest pożądane z punktu widzenia compliance z RODO.

W sytuacji, gdy przekazanie danych poza obszar EOG odbywa się między dwoma podmiotami przetwarzającymi lub subprocesorami, podmiot przekazujący dane powinien zadbać o przygotowanie odpowiedniej dokumentacji, która dotyczy m.in. podstawy przekazania i jego skutków. Nadal jednak administrator powinien się z tą dokumentacją zapoznać i zadbać o to, aby w razie potrzeby można było przedstawić ją organowi nadzoru. W ten sposób dochowuje on zasady rozliczalności, co jest niezbędne, aby uwolnić się od ewentualnej odpowiedzialności finansowej.

Warto wspomnieć, że EDPB w ramach opinii przyjrzała się również przesłance prawnie uzasadnionych interesów administratora, wyjaśniając kiedy i na jakich zasadach można się na nią powołać.

Ochrona danych osobowych a nowe regulacje prawne

Rozporządzenie RODO obowiązuje od maja 2018 i przez ubiegłe kilka lat lokalne organy nadzoru wydały wiele opinii odnośnie stosowania tej regulacji. Aby ujednolicić wykładnię przepisów i ułatwić stosowanie unijnego rozporządzenia, opracowano treść rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego dodatkowe zasady proceduralne dotyczące egzekwowania RODO. Jako główne założenia rozporządzenia wskazano:

  • usprawnienie współpracy między organami nadzoru,
  • stworzenie zharmonizowanej procedury polubownego rozstrzygania sporów,
  • wprowadzenie terminów dla poszczególnych etapów rozstrzygania sporów,

Propozycja zmian przepisów w dużej mierze będzie dotyczyła sporów transgranicznych o naruszenie RODO. Ma to o tyle istotne znaczenie, że szczególnie często to właśnie w sektorze IT dochodzi do nawiązywania współprac typu cross-border, ponieważ często nie ma konieczności, aby podmioty fizycznie były obecne na jednym obszarze.

Warto śledzić zmiany w obowiązujących przepisach, ponieważ mogą one wiele zmienić w kontekście wzmocnienia pozycji oraz uprawnień osób, których dane dotyczą.

Orzecznictwo CJEU a praktyka umów IT

Decydując się na podpisanie umowy z software housem warto pamiętać, że dobre praktyki tworzą nie tylko obowiązujące przepisy i obrót gospodarczy, ale także wydane na ich podstawie orzecznictwo. Chodzi nie tylko o rozstrzygnięcia wydane lokalnie, ale też judykaty Trybunału Sprawiedliwości Unii Europejskiej.

Na styku danych osobowych oraz nowoczesnych technologii warto zwrócić uwagę m.in. na sprawę C-634/21 SCHUFA dotyczącą zautomatyzowanego przetwarzania danych klienta przez bank. W tej sprawie CJEU uznał, że nawet jeżeli SCHUFA nie oceniała wniosków kredytowych wyłącznie na podstawie algorytmów AI, ale banki uwzględniały punktację SCHUFA to dochodziło do zautomatyzowanego procesu przetwarzania danych osobowych również wtedy, gdy w proces tej oceny zaangażowani byli pracownicy.

Innym przykładem rozstrzygnięcia istotnego z punktu widzenia RODO/IT jest sprawa C-446/21 Schrems vs. Meta. Po długich – trwających blisko 10 lat – bataliach sądowych CJEU uznał, że serwis społecznościowy powinien drastycznie ograniczyć ilość wykorzystywanych danych osobowych. Nie może bazować na informacjach gromadzonych na temat użytkowników przez cały okres istnienia serwisu. Co więcej, należy ograniczyć przetwarzanie danych umieszczonych jako publicznie widoczne komentarze. Późniejsze oświadczenia nie mogą stanowić zgody na przetwarzanie informacji opublikowanych lata temu.

O tym, jak istotne jest należyte zabezpieczenie danych osobowych, świadczy m.in. orzeczenie C-340/21 VB v Natsionalna agentsia za prihodite. CJEU stanął na stanowisku, że sama obawa przed niewłaściwym wykorzystaniem danych osobowych wynikająca z naruszenia może stanowić podstawę do dochodzenia zadośćuczynienia za szkodę niemajątkową.

Pamiętaj, aby zawsze konsultować bezpieczeństwo ochrony danych osobowych w umowach z prawnikami doświadczonymi w praktycznym stosowaniu RODO. W ten sposób minimalizujesz ryzyko swojej odpowiedzialności.

Ochrona danych osobowych w projektach IT – Kancelaria Linke Kulicki

Kwestie związane z ochroną danych osobowych budzą najwięcej wątpliwości tam, gdzie przetwarzanie zachodzi na dużą skalę lub też jest realizowane transgranicznie. Jeśli Twoja firma działa w obszarze IT, warto dobrze zabezpieczyć swoje interesy i zadbać o należytą ochronę pozycji osób, których dane są przetwarzane. Nasz zespół pomoże Ci w przygotowaniu niezbędnej dokumentacji, w tym umów o powierzenie przetwarzania danych osobowych. Realizujemy również audyt compliance w zakresie ochrony danych osobowych.

Potrzebujesz wsparcia prawnika IT? Napisz do mnie!



    Administratorem danych osobowych jest Linke Kulicki Education sp. z o.o. z siedzibą w Warszawie, ul. Ogrodowa 31 / lok. 54, 00-893 Warszawa, NIP 1182211564, KRS 0000852943 („Administrator”). Pana/Pani dane będą przetwarzane w celach marketingowych oraz w celu przekazywania Pani/Panu informacji handlowych drogą elektroniczną. Pana/Pani dane zostaną usunięte po odwołaniu zgody lub po zakończeniu prowadzenia działań marketingowych lub wysyłki informacji handlowych przez Administratora. Pana/Pani dane będą powierzane podmiotom trzecim na podstawie stosownych umów powierzenia przetwarzania danych osobowych w celu przechowywania danych osobowych na serwerze, skrzynce pocztowej oraz korzystania z usług wsparcia IT. Podstawą przetwarzania danych jest zgoda. W związku z przetwarzaniem danych osobowych ma Pan/Pani prawo do dostępu do swoich danych, sprostowania danych osobowych, usunięcia danych osobowych, wniesienia sprzeciwu, przenoszenia danych, ograniczenia przetwarzania, odwołania zgody, dostępu do informacji jakie dane Administrator przetwarza, złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Przedmiotowe uprawnienia można zrealizować poprzez kontakt z Administratorem na adres e-mail: biuro@linkekulicki.pl. Pani/Pana dane będą przekazywane poza UE oraz nie będą wykorzystywane do zautomatyzowanego podejmowania decyzji ani profilowania. Administrator potrzebuje Pana/Pani Danych Osobowych aby zrealizować wskazany cel przetwarzania, podanie danych osobowych jest dobrowolne jednak w przeciwnym wypadku podane cele nie będą mogły być zrealizowane.

    Łukasz Kulicki

    Autor: Łukasz Kulicki

    Radca prawny, Partner w Kancelarii Linke Kulicki specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.

    0
      0
      Koszyk
      Twój koszyk jest pustyWróć do sklepu
      Kontynuuj zakupy