podwykonawca a RODO

Podwykonawcy w firmie a RODO. Co ich obowiązuje?

Wiele firm korzysta z usług podwykonawców. Często powoduje to przekazanie danych osobowych. Jakie obowiązki spoczywają na firmie zewnętrznej?

Umowa z podwykonawcą

Firmy korzystają z usług podwykonawców w wielu aspektach swojej działalności. Często nawet zlecają samo przetwarzanie danych osobowych swoich klientów czy pracowników firmie zewnętrznej, ponieważ obecnie wiele firm oferuje usługi RODO. W każdym razie, jeśli współpraca z podwykonawcą obejmuje choćby w minimalnym stopniu przekazanie posiadanych danych osobowych konieczne jest zawarcie umowy między stronami.
Umowa musi określać:

  • przedmiot przetwarzania (jakie dane są przetwarzane);
  • czas trwania przetwarzania;
  • charakter i cel przetwarzania;
  • rodzaj danych osobowych;
  • kategorie osób, których dotyczą przetwarzane dane;
  • obowiązki i prawa administratora.
    Umowa nakłada na podwykonawcę następujące obowiązki:
  • przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora;
  • zapewnia, że osoby upoważnione do przetwarzania danych osobowych zobowiązane są do zachowania tajemnicy;
  • podejmuje odpowiednie środki zabezpieczające dane;
  • na ile może pomaga administratorowi wywiązać się z obowiązku spełniania żądań osoby, której dane dotyczą, w zakresie wykonywania jej praw;
  • po zakończeniu przetwarzania danych zależnie od decyzji administratora usuwa lub oddaje mu wszelkie dane osobowe oraz usuwa wszystkie kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
  • niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie jest naruszeniem RODO lub innych przepisów UE;
  • udostępnia administratorowi wszelkie informacje niezbędne do wykazania ochrony przetwarzanych danych osobowych i umożliwia administratorowi przeprowadzanie inspekcji w tej kwestii

Jak wygląda inspekcja u podwykonawcy?

Na taką inspekcję składają się działania, które pozwolą na otrzymanie obiektywnej oceny, na ile podwykonawca spełnia wymogi ochrony danych osobowych.

Do elementów takiej inspekcji należą:

  • analiza posiadanej dokumentacji;
  • weryfikacja zakresu i celu przetwarzania danych osobowych;
  • ocena posiadanego przez podwykonawcę system techniczno-organizacyjnego do ochrony danych osobowych.

Taką inspekcję może przeprowadzić u podwykonawcy, w imieniu firmy powierzającej, choćby Inspektor ochrony danych (przed wejściem w życie RODO ta funkcja nazywał się Administrator bezpieczeństwa informacji – ABI).

Kto ponosi odpowiedzialność za nieprawidłowe przetwarzanie danych?

Choć rozłożenie odpowiedzialności zależy od umowy, to ostateczną odpowiedzialność za nieprawidłowości związane z powierzeniem przetwarzania będzie ponosił administrator danych, czyli firma, która powierzyła dane osobowe podwykonawcy. Brak umowy również będzie miał swoje konsekwencje. Zazwyczaj jest to kara nałożona przez Prezesa Urzędu Ochrony Danych Osobowych, jak i odpowiedzialność cywilnoprawna wobec osoby, której dane zostały nieprawidłowo przetwarzane.

Podsumowanie

Przed powierzeniem podwykonawcy zebranych danych osobowych warto upewnić, że posiada on niezbędne kompetencje, doświadczenie oraz narzędzie do prawidłowego przetwarzania danych. Następnie koniecznie trzeba sporządzić umowę dotyczącą tego typu współpracy. Inaczej może to się zakończyć przykrym konsekwencjami.