Prowadząc działalność gospodarczą nie wszystkie czynności dealer jest w stanie bądź chce wykonywać samodzielnie. Często korzysta z pomocy podwykonawców, specjalistów w danej dziedzinie, którzy profesjonalnie wesprą go w codziennym funkcjonowaniu. Czynnościami, które najczęściej outsourcuje się podmiotom zewnętrznym jest np. wykonywanie usług księgowych, hostingowych, windykacyjnych, rekrutujących, czy szkoleniowych. Wiele z tego typu usług wiąże się nierozerwalnie z koniecznością powierzenia danych osobowych, bez których wykonanie usługi będzie po prostu niemożliwe. I tutaj powstaje pytanie, czy dealer w każdym przypadku musi zawrzeć z takim podmiotem zewnętrznym umowę powierzenia przetwarzania danych.
Autorem opracowania jest mecenas Agnieszka Książkiewicz z Książkiewicz Muchowicz Kancelaria Radców Prawnych.
W razie dodatkowych pytań zapraszamy do kontaktu z Kancelarią.
Generalnie zasada jest następująca: jeżeli dany usługodawca przetwarza dane jako odrębny administrator, nie ma potrzeby zawierania umowy powierzenia przetwarzania danych. Jeżeli natomiast przetwarza te dane jako podmiot przetwarzający, zawarcie umowy powierzenia przetwarzania danych będzie konieczne.
Przyjrzyjmy się temu zagadnieniu na konkretnych przykładach.
Usługi księgowe i kadrowo – płacowe
Zawarcie umowy powierzenia przetwarzania danych osobowych z podmiotem zewnętrznym świadczącym usługi księgowe oraz kadrowo – płacowe będzie co do zasady wymagane. Taki podmiot zewnętrzny wykonuje bowiem swoje usługi nie jako odrębny administrator, ale działa w oparciu o wyznaczone przez dealera cele, sposoby i zasady przetwarzania danych osobowych.
Usługi niszczenia i archiwizacji dokumentów
Podobnie w przypadku zlecenia podmiotowi zewnętrznemu usług niszczenia bądź archiwizacji dokumentów zawarcie umowy powierzenia przetwarzania danych będzie niezbędne. Taka firma zewnętrzna nie podejmuje bowiem samodzielnie decyzji odnośnie celów, sposobów i zasad przetwarzania danych osobowych, ale działa w oparciu o wyraźne instrukcje otrzymane od dealera.
Usługi marketingowe
Również w przypadku zlecania przez dealera prowadzenia kampanii marketingowych podmiotowi zewnętrznemu należy rozważyć konieczność zawarcia umowy powierzenia przetwarzania danych. Gdy dealer w związku z taką kampanią przekażę agencji marketingowej swoją bazę klientów, bądź zleci zbudowanie takiej bazy w jego imieniu, wymagane będzie zawarcie umowy powierzenia przetwarzania danych osobowych.
Usługi hostingowe
Jeżeli dealer korzysta z usług zewnętrznej firmy hostingowej, na której serwerach znajdują się dane osobowe, firma hostingowa również zostanie uznana za podmiot przetwarzający dane, a dealer musi dopilnować zawarcia umowy powierzenia przetwarzania danych osobowych.
Usługi windykacyjne
Podmiot świadczący usługi windykacyjne może być albo odrębnym od dealera administratorem danych, który kompleksowo zarządza wierzytelnościami i samodzielnie określa cele, sposoby, zasady i szczegółowe operacje przetwarzania danych albo podmiotem, który tylko przetwarza dane, a cele, sposoby i zasady przetwarzania tych danych określa dealer. Liczy się więc faktyczna rola firmy windykacyjnej w procesach przetwarzania danych.
W pierwszej sytuacji zawarcie umowy powierzenia przetwarzania danych nie będzie wymagane, w drugiej sytuacji zdecydowanie konieczne.
Aby firma windykacyjna mogła być samodzielnym administratorem danych osobowych, musi ona w ramach dochodzenia wierzytelności samodzielnie ustalać konkretne cele i sposoby przetwarzania danych osobowych. Operacje przetwarzania danych osobowych w ramach tych usług nie będą natomiast określone lub uzgodnione z wierzycielem oraz nie będą podlegać jego kontroli bądź nadzorowi. W takiej sytuacji firma windykacyjna samodzielnie odpowiada za naruszenie przepisów dotyczących ochrony danych osobowych. Jeżeli jednak cele, sposoby i zasady przetwarzania danych osobowych określa sam wierzyciel i wskazuje je w umowie powierzenia przetwarzania danych, a dodatkowo wykonuje faktyczny nadzór nad określonymi przez siebie sposobami i zasadami przetwarzania danych, wówczas podmiot windykacyjny jest wyłącznie podmiotem przetwarzającym dane osobowe. Zawarcie umowy z podmiotem przetwarzającym dane osobowe będzie wówczas konieczne. (vide: RODO. Poradnik dla sektora FINTECH opracowany przez Ministerstwo Cyfryzacji)
Usługi podmiotów rekrutujących
Zawarcie umowy powierzenia przetwarzania danych osobowych będzie konieczne, gdy podmiot rekrutujący będzie przetwarzał dane osobowe kandydatów do pracy. Chodzi więc np. o sytuację, gdy cv i list motywacyjny będzie wysyłany do firmy rekrutującej, a nie bezpośrednio do dealera. Jeżeli jednak firma rekrutująca tylko udostępnia narzędzia do publikacji ogłoszeń o pracę, ale już żadnych danych osobowych nie przetwarza, wówczas zawarcie umowy powierzenia przetwarzania danych nie będzie potrzebne.
Usługi BHP
Jeżeli dealer zawiera z podmiotem zewnętrznym umowę, na mocy której podmiot ten będzie świadczył usługi BHP, dojdzie do powierzenia przetwarzania danych osobowych. Wiąże się to z koniecznością zawarcia przez administratora umowy powierzenia przetwarzania danych osobowych.
W poradniku dla pracodawców wydanym przez Urząd Ochrony Danych Osobowych, a dotyczącym ochrony danych osobowych w miejscu pracy wskazano, iż szkolenia z zakresu bhp mogą być przeprowadzone przez pracownika pracodawcy wyznaczonego np. ds. bhp lub podmiot zewnętrzny. W przypadku pracownika dealera, który zajmuje się sprawami ds. bhp osoba przeprowadzająca szkolenie powinna posiadać tylko upoważnienie do przetwarzania danych osób biorących udział w szkoleniu. Jeżeli natomiast szkolenie prowadzi firma zewnętrzna, konieczne jest zawarcie z pracodawcą umowy powierzenia przetwarzania danych osobowych.
W poradniku udostępnionym natomiast przez Ministerstwo Cyfryzacji, zatytułowanym: Rodo dla administracji wskazuje się, iż w przypadku szkolenia przeprowadzanego przez firmę zewnętrzną wyłącznie na terenie administratora możliwe jest wyłącznie posiadanie upoważnienia prowadzącego szkolenie do przetwarzania danych osobowych, jednak prowadzący powinien zagwarantować, że danych nie będzie przetwarzał poza siedzibą administratora.
Usługi medyczne
Jeżeli dealer posiada zawartą umowę z lekarzem medycyny pracy również należy rozważyć konieczność podpisania dodatkowej umowy powierzenia przetwarzania danych. Ponownie więc badamy, czy lekarz działa w takiej sytuacji jako samodzielny administrator danych osobowych, czy jako podmiot przetwarzający.
Lekarz wykonujący zadania służby medycyny pracy przetwarza dane w oparciu o art. 9 ust. 2 lit. h) RODO w związku z art. 6 i 11 ustawy o służbie medycyny pracy z dnia 27 czerwca 1997 r. (t. j. z 10 maja 2018 r., Dz. U. z 2018 r., poz. 1155). Powołana ustawa nakłada na niego szereg obowiązków, w tym m.in. obowiązek prowadzenia dokumentacji medycznej. Dane zawarte w tej dokumentacji są objęte tajemnicą zawodową i służbową, a udostępnianie danych odbywa się w oparciu o szczegółowe regulacje. Trudno byłoby więc pracodawcy realizować wobec lekarza medycyny pracy uprawnienia wynikające z art. 28 RODO, a więc uprawnienia przysługujące administratorowi wobec podmiotu przetwarzającego.
Również autorzy projektu kodeksu postępowania dla podmiotów wykonujących działalność medyczną (projekt dostępny na stronie: www.rodowzdrowiu.pl) zakładają, że nie jest zasadne na potrzeby realizacji celów zdrowotnych zawieranie z podmiotem medycznym jako przetwarzającym umowy powierzenia danych udostępnianych np. przez pracodawcę udostępniającego dane osobowe pracowników w celu objęcia ich opieką medyczną bez względu na okoliczność, czy opieka ta dotyczy świadczeń zdrowotnych z zakresu medycyny pracy, czy wykracza ona poza ten zakres.
Nie ma więc potrzeby zawierania umowy powierzenia przetwarzania danych przez pracodawcę w przypadku korzystania z usług lekarza medycyny pracy, ponieważ lekarz pozostaje w takiej sytuacji samodzielnym administratorem danych osobowych pacjentów.
Podobnie nie ma konieczności zawierania umowy powierzenia przetwarzania danych z podmiotem, który wykonuje badania profilaktyczne pracowników. Taki podmiot jest odrębnym administratorem danych osobowych od dealera.
Usługi ubezpieczeniowe
Ubezpieczyciel jest samodzielnym administratorem danych osobowych. Samodzielnie bowiem ustala konkretne cele i sposoby przetwarzania danych osobowych. Nie dochodzi więc do powierzenia przez dealera danych osobowych klientów i nie zajdzie potrzeba zawierania umowy powierzenia przetwarzania danych osobowych.
Usługi szkoleniowe
Jeżeli pracownik samodzielnie zapisze się na szkolenie organizowane przez firmę zewnętrzną, a dealer wyłącznie finansuje to szkolenie, to podmiot zewnętrzny będzie odrębnym administratorem danych. Wówczas nie ma potrzeby zawierania umowy powierzenia przetwarzania danych. Jeżeli jednak dealer przekaże firmie szkoleniowej uzupełnione przez swoich pracowników formularze szkoleniowe, wówczas zawarcie umowy powierzenia przetwarzania danych pomiędzy dealerem a firmą szkoleniową będzie konieczne.
Nie każde jednak szkolenie wiąże się z koniecznością przetwarzania danych osobowych. Jeżeli firma szkoleniowa nie przetwarza żadnych danych osobowych uczestników szkolenia (nie tworzy np. list obecności), wówczas nie ma potrzeby regulowania kwestii przetwarzania danych osobowych.
Podsumowując, każda sytuacja związana z nawiązaniem relacji biznesowych z podmiotem zewnętrznym, stwarza po stronie dealera konieczność rozważenia, czy w danym układzie dealer pozostaje nadal samodzielnym administratorem danych osobowych, a podmiot trzeci jedynie działa w granicach określonych przez administratora, czy może to właśnie firma zewnętrzna ma już status samodzielnego administratora danych osobowych. Istotna jest sytuacja faktyczna i przeanalizowanie procesów przetwarzania danych, a nie tylko postanowień umów zawartych między stronami. Pomocą dla dealera może być funkcjonujący u niego inspektor ochrony danych osobowych.