W czasach, gdy tak wiele działań biznesowych firm przenosi się do Internetu, coraz częściej mamy do czynienia z powierzaniem przetwarzania danych osobowych przez inny podmiot.

Outsourcing jest dla administratorów szansą na optymalizację wybranych procesów lub zmniejszenie kosztów związanych z zatrudnieniem pracowników. W większości przypadków outsourcing jest nieodłącznie związany z ujawnieniem wykonawcy danych osobowych, które mają być następnie przetwarzane w imieniu i na rzecz administratora.

Szczególnym rodzajem powierzenia jest dalsze powierzenie przetwarzania danych osobowych. Jest to relacja pomiędzy podmiotem przetwarzającym a tzw. subprocessorem, zwana również podpowierzeniem przetwarzania danych.

Przykłady podpowierzenia

Przykładem dalszego powierzenia przetwarzania danych jest outsourcing w zakresie obsługi kadrowej na rzecz wykonawcy, który korzysta z usług podwykonawcy.

Z dalszym powierzeniem przetwarzania danych osobowych będziemy mieć do czynienia także w przypadku korzystania przez podmiot przetwarzający z usług chmurowych, które zakładają przechowywanie danych (hosting) w ramach zewnętrznej infrastruktury informatycznej. Z rozwiązań tych korzysta coraz więcej polskich firm. Często będzie to oznaczać przekazywanie danych do państw trzecich, np. USA lub Indii.

Forma prawna

Podpowierzenie danych osobowych powinno zostać sformalizowane w drodze pisemnej umowy zawartej pomiędzy procesorem i subprocesorem.

Ewentualnie, zasady współpracy mogą być określone w innym instrumencie prawnym, który podlega prawu Unii Europejskiej lub państwa członkowskiego. Takim instrumentem może być chociażby regulamin usługi świadczonej przez subprocessora, zawierający punkty dotyczące przetwarzania podpowierzonych danych osobowych.

Zgoda administratora

Aby podmiot przetwarzający mógł skorzystać z usług subprocessora, musi najpierw uzyskać pisemną zgodę administratora na dalsze powierzenie przetwarzania danych. Taka zgoda może być zawarta w umowie powierzenia przetwarzania danych osobowych albo mieć postać osobnego pisemnego oświadczenia.

Zgoda administratora może być ogólna albo szczegółowa, czyli zawierać ogólne upoważnienie do podpowierzenia danych osobowych na rzecz innych podmiotów albo dotyczyć wyłącznie konkretnych podmiotów, znanych i wskazanych z nazwy w momencie udzielenia zgody. Ta druga opcja jest lepsza dla administratorów, które chcą zachować ściślejszą kontrolę nad tym, komu podmiot przetwarzający może ujawnić dane osobowe.

Natomiast w przypadku zgody ogólnej, podmiot przetwarzający ma obowiązek informować administratora o zamierzonych zmianach dotyczących dodania lub zmiany podmiotów przetwarzających. Administrator ma prawo wyrazić swój sprzeciw.

Bez pisemnej zgody administratora, podmiot przetwarzający nie ma prawa korzystać z usług podwykonawcy w zakresie, w jakim niezbędne jest do tego ujawnienie danych osobowych.

Warunki współpracy z subprocessorem

W idealnym scenariuszu administrator, będący gospodarzem procesu przetwarzania danych osobowych, może na tym etapie postawić wykonawcy konkretne warunki dotyczące współpracy z podwykonawcami w zakresie ochrony danych osobowych. W praktyce często jest to utrudnione, ponieważ specyficzne zapisy musiałyby zostać inkorporowane do umowy podpowierzenia. A to wymagałoby negocjacji, a w niektórych przypadkach są one praktycznie niemożliwe, np. z dostawcami usług chmurowych z USA.

Umowę dalszego powierzenia przetwarzania danych osobowych zawiera już wykonawca z wybranym przez siebie podwykonawcą.

Podpowierzenie może nastąpić wyłącznie w zakresie niezbędnym do realizacji usług świadczonych przez podwykonawcę. Przekazywanie mu danych w szerszym zakresie jest nie tylko nieuprawnione, ale także niepotrzebnie zwiększyłoby zagrożenie prawa do prywatności osób, których dane dotyczą, w razie ewentualnego wycieku danych.

Podmiot przetwarzający powinien także zadbać, aby sposób przekazywania danych podwykonawcy (np. skanów dokumentów) sam w sobie nie stwarzał ryzyka dla bezpieczeństwa danych, w szczególności ich zachowania w tajemnicy. Wysłanie niezaszyfrowanej wiadomości e-mail można porównać do wysłania listu na poczcie w niezaklejonej kopercie.

Aktualność i rzetelność danych

Warto także pamiętać, że zrealizowanie niektórych żądań osoby, której dane dotyczą, skutkować będzie koniecznością adekwatnych działań ze strony podmiotów przetwarzających, co obejmuje również subprocessorów. Dotyczy to np. wniosku o sprostowanie lub usunięcie danych.

Współpraca i komunikacja na linii administatora – podmiot przetwarzający oraz podmiot przetwarzający – subprocessor powinna być wyposażona w odpowiednie procedury, które umożliwią zachowanie aktualności i rzetelności przetwarzanych danych w całym czasie trwania współpracy.

Zakończenie współpracy

Co do zasady subprocessor nie może przetwarzać podpowierzonych danych osobowych po zakończeniu świadczenia przez siebie usługi, a także po zakończeniu współpracy na linii administrator – podmiot przetwarzający. Ewentualne wyjątki mogą wynikać z przepisów prawa, których subprocessor musi przestrzegać lub szczegółowe uzgodnienia umowne stron, np. w zakresie przechowywania zarchiwizowanych dokumentów.