Serwis sprzętu komputerowego i oprogramowania w świetle RODO – jak uregulować współpracę z serwisantem

Przekazanie danych osobowych innemu podmiotowi jest niczym innym, jak ich przetwarzaniem (art. 4 pkt 2 RODO). Do takiego przetwarzania dochodzi zatem, gdy administrator danych osobowych udostępnia sprzęt komputerowy do wykonania usługi serwisowej przez firmę wykonującą takie usługi. Skoro zatem w związku z wykonywaniem umowy serwisowej przekazywane są dane osobowe, wówczas konieczna jest legalizacja takiego przekazywania.

W przypadku konieczności przekazania podmiotowi zewnętrznemu danych osobowych administrator danych (w tym przypadku zleceniodawca) powinien - biorąc pod uwagę okoliczności faktyczne konkretnej sprawy - dokonać wyboru formy przekazania tych danych. Korzystanie bowiem z danych osobowych przez inne podmioty niż administrator danych może odbywać się na zasadzie udostępnienia tych danych albo na zasadzie powierzenia przetwarzania danych.

Przekazanie danych osobowych może przybrać postać:

• powierzenia zleceniodawcy przetwarzania danych osobowych (np. pracownika zleceniobiorcy), w stosunku do których to danych zleceniobiorca jest ich administratorem – wówczas zleceniodawca jest jedynie podmiotem przetwarzającym;
• udostępnienie danych osobowych.

Powierzenie przetwarzania danych osobowych pozwoli w łatwy i szybki sposób uprawnić do przetwarzania danych osobowych podmioty, które normalnie nie mogłyby tego robić (czyli zleceniobiorcę, któremu pracownicy czy klienci zleceniodawcy nie wyrazili przecież zgody na przetwarzanie ich danych osobowych). Podmiot, któremu dane zostały powierzone do przetwarzania jest nazywany ogólnie procesorem (będzie nim zleceniobiorca). Innymi słowy w przypadku powierzenia danych osobowych procesor może przetwarzać przekazane dane osobowe wyłącznie w zakresie i celu przewidzianym w umowie. Powierzenie przetwarzania danych osobowych innemu podmiotowi nie oznacza, że ten podmiot staje się przez to ich administratorem. Status administratora danych posiada nadal powierzający dane (zleceniobiorca).

Z kolei z udostępnieniem danych osobowych mamy do czynienia wyłącznie w sytuacji, gdy odbiorcą danych jest inny administrator danych, który wykorzystuje te dane do swoich własnych celów. W przypadku udostępnienia danych zarówno dotychczasowy jak i nowy administrator danych powinni legitymować się jedną z przesłanek dopuszczalności przetwarzania danych. Przy tym podstawy przetwarzania danych mogą być inne dla dotychczasowego i nowego administratora.

Świadcząc usługi serwisowe na rzecz administratora danych osobowych, firma wykonująca tę usługę oczywiście przetwarza dane osobowe, ale w zakresie i celu wyznaczonym przez administratora (tylko po to, by wykonać umowę serwisową). Jest więc podmiotem przetwarzającym, co oznacza, że z firmą serwisową należy zawrzeć umowę powierzenia przetwarzania danych.

Co istotne, przekazanie danych firmie świadczącej usługi serwisowej bez powierzenia ich przetwarzanie stanowi poważne naruszenie przepisów RODO, które może skutkować wymierzeniem kary finansowej.

W przedstawionej sytuacji firma informatyczna będzie wykonywała usługi na rzecz administratora (podmiotu korzystającego z systemu teleinformatycznego. W ramach tych usług będzie przetwarzała dane przekazane przez administratora. To administrator zdecyduje jednak o zakresie i celu przetwarzania danych, czym firma ta będzie związana. Innymi słowy wszelkie dane osobowe będą przekazane przez administratora w celu wykonania usług przez firmę zewnętrzny. W konsekwencji w przedstawionej sytuacji także należy zawrzeć umowę powierzenia przetwarzania danych.

Administrator danych osobowych może powierzyć przetwarzanie danych osobowych podmiotowi trzeciemu bez zgody osoby, której dane są powierzane. Właśnie to jest istotą powierzenia przetwarzania danych. Zatem administrator może przekazać sprzęt i oprogramowanie do serwisu, nie pytając o zgodę swoich pracowników, klientów lub inne osoby, których dane są przechowywane na tym sprzęcie.

Sama „czysta” umowa serwisowa nie jest umową powierzenia danych osobowych. Umowa ta zobowiązuje bowiem serwisanta do wykonania usługi serwisowej. Nie wystarczy więc zawarcie takiej umowy. Administrator powinien doprowadzić do:

• zawarcia odrębnej umowy powierzenia przetwarzania danych,
• wprowadzenia zapisów dotyczących powierzenia przetwarzania danych do samej umowy serwisowej - w formie osobnych paragrafów lub jako załącznik do tej umowy.

Jakie zapisy powinny zatem trafić do umowy powierzenia (tudzież umowy serwisowej, które ma regulować powierzenie przetwarzania danych serwisantowi). Przede wszystkim należy podkreślić, że umowa o powierzeniu przetwarzania danych osobowych powinna być zawarta w formie pisemnej lub elektronicznej. W treści umowy zawsze trzeba wskazać przede wszystkim:

• zakres oraz cel powierzenia przetwarzania danych (odnosimy się tu do umowy serwisowej),
• charakter i cel przetwarzania,
• rodzaj danych osobowych objętych powierzenie
• kategorie osób, których przekazywane dane dotyczą,
• prawa i obowiązki administratora,
• prawa i obowiązki podmiotu przetwarzającego (zgodne z art. 28 ust. 3 RODO).

Z kolei upoważnienia do przetwarzania danych powinny być udzielone wszystkim pracownikom, a nawet zleceniobiorcom zorganizowanym w strukturze administratora, którzy w jego imieniu przetwarzają dane osobowe (art. 28 ust. 1 RODO). Upoważnień udziela też podmiot przetwarzający. Jeżeli zatem administrator danych osobowych poleciłby serwis sprzętu komputerowego i oprogramowania swojemu pracownikowi lub innej osobie zlokalizowanej w strukturze ADO, wówczas – zamiast umowy powierzenia przetwarzania danych – powinien udzielić takiej osobie upoważnienia do przetwarzania danych osobowych lub rozszerzyć dotychczasowe upoważnienie.

Jak wiemy, każda osoba mająca dostęp do danych osobowych, która nie jest administratorem tychże danych, powinna legitymować się bądź upoważnieniem wydanym przez administratora albo podmiot przetwarzający, bądź też umową powierzenia danych. Upoważnienie przeznaczone jest dla pracowników administratora (podmiotu przetwarzającego) lub innych osób będących z nim w relacji zbliżonej do pracowniczej, tj. stażystów, praktykantów, współpracowników zatrudnionych na umowę cywilnoprawną. Decydujący jest w tym zakresie stopień zależności od administratora danych w zakresie dysponowania danymi osobowymi.

Nie można wykluczyć sytuacji, w której usługę serwisową na rzecz administratora wykona np. znajomy jednego z członków organów firmowych i będzie to usługa wykonana nieodpłatnie – nie w ramach prowadzonej działalności gospodarczej. W takim przypadku dochodzi do zawarcia ustnej umowy o świadczenie usług serwisowych. Przyjmujemy wówczas, że osoba wykonująca usługę mieści się w strukturze administratora. Jeśli zatem osoba wykonująca nieodpłatnie usługę serwisową zobowiązała się do zachowania poufności danych oraz przetwarzania ich wyłącznie na polecenie i w zakresie określonym przez administratora, to wystarczające będzie udzielenie jej upoważnienia do przetwarzania danych. Z uwagi na zasadę rozliczalności (art. 5 ust. 2 RODO), warto taką deklarację (w zakresie poufności) odebrać również na piśmie.

Przekazanie sprzętu komputerowego serwisantowi, a co za tym idzie, powierzenie przetwarzania danych, należy odpowiednio udokumentować np. za pomocą protokołu zdawczo-odbiorczego. Żaden akt prawny wprost nie określa elementów składowych takiego protokołu, jednakże ze względów dowodowych (art. 5 ust. 2 RODO) - należy zawrzeć w nim co najmniej informacje na temat:

• osób, które uczestniczą w czynności przekazania sprzętu komputerowego,
• samego sprzętu komputerowego (z jakich elementów się on składa),
• oprogramowania,
• danych osobowych i ich zabezpieczeń - jeżeli znajdują się na nośnikach danych stanowiących element sprzętu komputerowego,
• uwag co do stanu, jakości i kompletności sprzętu komputerowego.