Wszystkie teksty umieszczane na Linkedin lub naszych stronach internetowych są naszą opinią. Prosimy nie traktować ich jako porady prawnej w konkretnej sprawie, ponieważ konkretna sprawa zawsze wymaga indywidualnej analizy.
W znacznej części przypadków wykonawca, prowadząc wdrożenie systemu ERP, uzyskuje dostęp do danych osobowych przetwarzanych w systemach informatycznych zamawiającego.
Bardzo często z sytuacją taką spotykamy się w przypadku wdrożeń systemów informatycznych w obszarach HR oraz w przedsiębiorstwach świadczących usługi dla osób prywatnych, poczynając od wodociągów czy elektrowni, a kończąc na sklepach internetowych.
Z drugiej strony, w związku z przewidzianymi procedurami zarządzania personelem, realizacja umowy wdrożeniowej zazwyczaj wiąże się z przedstawieniem zamawiającemu wielu danych osobowych personelu wykonawcy skierowanego do realizacji prac wdrożeniowych (np. dane personalne pracowników, informacje o odbytych szkoleniach, posiadanych certyfikatach). Niekiedy umowa wdrożeniowa zakłada nawet przekazanie zamawiającemu kompletnych CV pracowników wykonawcy w celu doboru konsultantów skierowanych do realizacji projektu.
Zazwyczaj w przypadku takim, jak opisany powyżej, z punktu widzenia regulacji dotyczących ochrony danych osobowych zamawiający jest administratorem danych zgromadzonych w jego systemach informatycznych, a wykonawca jest administratorem danych osobowych swoich pracowników (konsultantów).
Trzeba zauważyć, że przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w sposób bardzo szeroki definiują pojęcie „przetwarzania” danych osobowych. Zgodnie ustawą przez „przetwarzanie” danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, w tym zbieranie, utrwalenie, przechowywanie, zmienianie, udostępnianie czy usuwanie danych osobowych. W konsekwencji wykonawca, prowadząc migrację baz danych zawierających np. dane osobowe pracowników lub klientów, czy choćby przeglądając takie dane w związku z pracami serwisowymi, dopuszcza się „przetwarzania” danych osobowych. Podobnie zamawiający przechowując, czy analizując CV pracowników wykonawcy, „przetwarza” ich dane osobowe.
Pojawia się zatem zasadnicze pytanie: jaka jest podstawa prawna tego rodzaju przetwarzania danych osobowych przez wykonawcę oraz zamawiającego?
Przepisy ustawy przewidują, że administrator danych może nie tylko samodzielnie przetwarzać dane osobowe, lecz także zlecić („powierzyć”) przetwarzanie takich danych osobowych „zewnętrznemu” podmiotowi.
Zgodnie z art. 31 ust. 1 ustawy powierzenie przetwarzania danych osobowych odbywa się na podstawie pisemnej umowy zawartej przez administratora danych z takim podmiotem („zleceniobiorcą”). A zatem w powyższym przypadku strony powinny zawrzeć umowy, na podstawie których zamawiający powierzy wykonawcy przetwarzanie danych osobowych zgromadzonych w systemie informatycznym, a wykonawca powierzy zamawiającemu przetwarzanie danych osobowych swego personelu. W omawianym przypadku każdy z powyższych podmiotów jest zarówno administratorem danych, jak i podmiotem, któremu powierzono przetwarzanie danych osobowych („zleceniobiorcą”).
Oczywiście w praktyce powyższe postanowienia mogą znaleźć się w ramach jednego dokumentu umowy, stanowiącego najczęściej załącznik do umowy wdrożeniowej.
Zgodnie z ustawą zleceniobiorca może przetwarzać dane wyłącznie „w celu” oraz „w zakresie” wskazanym w umowie.
Umowa powinna zatem określać przynajmniej „zakres” danych osobowych, tj. rodzaj, kategorie danych, jakie mogą być przetwarzane przez zleceniobiorcę, oraz cel przetwarzania powierzonych danych osobowych (np. wykonanie wdrożenia systemu czy określonych zadań w ramach prac wdrożeniowych). Przetwarzanie przez zleceniobiorcę danych osobowych w zakresie szerszym niż opisany w umowie lub w innych celach niż wskazane w umowie stanowi zarówno naruszenie umowy, jak i naruszenie przepisów ustawy.
Podmiot, któremu powierzono przetwarzanie danych osobowych na podstawie powyżej opisanej umowy, nie staje się administratorem danych. W konsekwencji nie obciążają go obowiązki ustawowe skierowane wprost do administratora danych (np. obowiązek rejestracji zbioru danych).
Jednak ustawa zobowiązuje taki podmiot do zabezpieczenia przetwarzania danych osobowych zgodnie z wymaganiami określonymi w niej oraz w rozporządzeniu wykonawczym. Podmiot przetwarzający dane osobowe zobowiązany będzie zatem między innymi do ustanowienia administratora bezpieczeństwa informacji, prowadzenia ewidencji osób upoważnionych do przetwarzania danych oraz sporządzenia dokumentacji opisującej sposób przetwarzania i zabezpieczenia danych. Ustawa dopuszcza jednocześnie przeprowadzanie przez GIODO bezpośredniej kontroli zleceniobiorcy w zakresie przetwarzania przez niego danych osobowych zgodnie z przepisami prawa.
W praktyce obrotu umowa o powierzenie przetwarzania danych precyzuje zobowiązania zleceniobiorcy w zakresie zabezpieczenia danych osobowych, a także wprowadza prawo administratora danych do kontroli realizacji takich zobowiązań przez zleceniobiorcę. Ponadto w praktyce obrotu wykonawca, realizując wdrożenie, często może się posługiwać podwykonawcami. Umowa taka powinna zatem regulować także zasady dalszego powierzenia przetwarzania danych osobowych przez podwykonawców.