Aktualny

Serwis sprzętu komputerowego i oprogramowania w świetle RODO – jak uregulować współpracę z serwisantem

Dodano: 29 października 2019
0cfa193a3641d5b6dabe81345117f21d99bd64c6-large

W związku ze zleceniem usług serwisowych administrator umożliwia firmie zajmującej się serwisem dostęp do danych osobowych przechowywanych w komputerach. Wykonanie serwisu bez dostępu do tych danych byłoby niemożliwe. Wobec tego administrator danych osobowych powinien dołożyć wszelkich starań, by przekazane dane osobowe były bezpieczne.

Z tematu tygodnia dowiesz się m.in.:

  • jaką umowę zawrzeć z firmą serwisową,
  • jak postąpić, gdy serwis wykonuje pracownik firmy,
  • jakie rozwiązania zastosować w przypadku serwisu oprogramowania,
  • jak udokumentować przekazanie sprzętu.

Serwis sprzętu - powierzenie czy udostępnienie danych

Przekazanie danych osobowych innemu podmiotowi jest niczym innym, jak ich przetwarzaniem (art. 4 pkt 2 RODO). Do takiego przetwarzania dochodzi zatem, gdy administrator danych osobowych udostępnia sprzęt komputerowy do wykonania usługi serwisowej przez firmę wykonującą takie usługi. Skoro zatem w związku z wykonywaniem umowy serwisowej przekazywane są dane osobowe, wówczas konieczna jest legalizacja takiego przekazywania.

W przypadku konieczności przekazania podmiotowi zewnętrznemu danych osobowych administrator danych (w tym przypadku zleceniodawca) powinien - biorąc pod uwagę okoliczności faktyczne konkretnej sprawy - dokonać wyboru formy przekazania tych danych. Korzystanie bowiem z danych osobowych przez inne podmioty niż administrator danych może odbywać się na zasadzie udostępnienia tych danych albo na zasadzie powierzenia przetwarzania danych.

Przekazanie danych osobowych może przybrać postać:

  • powierzenia zleceniodawcy przetwarzania danych osobowych (np. pracownika zleceniobiorcy), w stosunku do których to danych zleceniobiorca jest ich administratorem – wówczas zleceniodawca jest jedynie podmiotem przetwarzającym;
  • udostępnienie danych osobowych.

Powierzenie przetwarzania danych osobowych pozwoli w łatwy i szybki sposób uprawnić do przetwarzania danych osobowych podmioty, które normalnie nie mogłyby tego robić (czyli zleceniobiorcę, któremu pracownicy czy klienci zleceniodawcy nie wyrazili przecież zgody na przetwarzanie ich danych osobowych). Podmiot, któremu dane zostały powierzone do przetwarzania jest nazywany ogólnie procesorem (będzie nim zleceniobiorca). Innymi słowy w przypadku powierzenia danych osobowych procesor może przetwarzać przekazane dane osobowe wyłącznie w zakresie i celu przewidzianym w umowie. Powierzenie przetwarzania danych osobowych innemu podmiotowi nie oznacza, że ten podmiot staje się przez to ich administratorem. Status administratora danych posiada nadal powierzający dane (zleceniobiorca).

Z kolei z udostępnieniem danych osobowych mamy do czynienia wyłącznie w sytuacji, gdy odbiorcą danych jest inny administrator danych, który wykorzystuje te dane do swoich własnych celów. W przypadku udostępnienia danych zarówno dotychczasowy jak i nowy administrator danych powinni legitymować się jedną z przesłanek dopuszczalności przetwarzania danych. Przy tym podstawy przetwarzania danych mogą być inne dla dotychczasowego i nowego administratora.

Świadcząc usługi serwisowe na rzecz administratora danych osobowych, firma wykonująca tę usługę oczywiście przetwarza dane osobowe, ale w zakresie i celu wyznaczonym przez administratora (tylko po to, by wykonać umowę serwisową). Jest więc podmiotem przetwarzającym, co oznacza, że z firmą serwisową należy zawrzeć umowę powierzenia przetwarzania danych.

Co istotne, przekazanie danych firmie świadczącej usługi serwisowej bez powierzenia ich przetwarzanie stanowi poważne naruszenie przepisów RODO, które może skutkować wymierzeniem kary finansowej.

Jak postąpić w przypadku serwisu oprogramowania

Przykład

Firma chce sprawdzić szczelność swojego systemu teleinformatycznego i ma zamiar zlecić to zadanie firmie zewnętrznej- przeprowadzenie testów penetracyjnych, szczelności itp. w celu wykrycia ewentualnych podatności. Czy z taką firmą oprócz zobowiązania do zachowania poufności należy podpisać również umowę powierzenia przetwarzania danych osobowych?

W przedstawionej sytuacji firma informatyczna będzie wykonywała usługi na rzecz administratora (podmiotu korzystającego z systemu teleinformatycznego. W ramach tych usług będzie przetwarzała dane przekazane przez administratora. To administrator zdecyduje jednak o zakresie i celu przetwarzania danych, czym firma ta będzie związana. Innymi słowy wszelkie dane osobowe będą przekazane przez administratora w celu wykonania usług przez firmę zewnętrzny. W konsekwencji w przedstawionej sytuacji także należy zawrzeć umowę powierzenia przetwarzania danych.

Zgoda podmiotu danych nie ma tu znaczenia

Administrator danych osobowych może powierzyć przetwarzanie danych osobowych podmiotowi trzeciemu bez zgody osoby, której dane są powierzane. Właśnie to jest istotą powierzenia przetwarzania danych. Zatem administrator może przekazać sprzęt i oprogramowanie do serwisu, nie pytając o zgodę swoich pracowników, klientów lub inne osoby, których dane są przechowywane na tym sprzęcie.

Nie wystarczy sama umowa serwisowa

Sama „czysta” umowa serwisowa nie jest umową powierzenia danych osobowych. Umowa ta zobowiązuje bowiem serwisanta do wykonania usługi serwisowej. Nie wystarczy więc zawarcie takiej umowy. Administrator powinien doprowadzić do:

  • zawarcia odrębnej umowy powierzenia przetwarzania danych,
  • wprowadzenia zapisów dotyczących powierzenia przetwarzania danych do samej umowy serwisowej - w formie osobnych paragrafów lub jako załącznik do tej umowy.

Co powinno znaleźć się w umowie z serwisantem

Jakie zapisy powinny zatem trafić do umowy powierzenia (tudzież umowy serwisowej, które ma regulować powierzenie przetwarzania danych serwisantowi). Przede wszystkim należy podkreślić, że umowa o powierzeniu przetwarzania danych osobowych powinna być zawarta w formie pisemnej lub elektronicznej. W treści umowy zawsze trzeba wskazać przede wszystkim:

  • zakres oraz cel powierzenia przetwarzania danych (odnosimy się tu do umowy serwisowej),
  • charakter i cel przetwarzania,
  • rodzaj danych osobowych objętych powierzenie
  • kategorie osób, których przekazywane dane dotyczą,
  • prawa i obowiązki administratora,
  • prawa i obowiązki podmiotu przetwarzającego (zgodne z art. 28 ust. 3 RODO).
Uwaga

Rodzaj danych osobowych to określenie jakie dane zostają powierzone. Rodzaj powinien być precyzyjnie wskazany albo poprzez wyliczenie kategorii danych (np. imię, nazwisko, numer telefonu) albo opisowo, ale precyzyjnie (np. „ w zakresie niezbędnym do realizacji umowy z dnia …… o świadczeniu usług informatycznych”).

Uwaga

Pobierz: Umowa powierzenia przetwarzania danych osobowych zgodna z ogólnym rozporządzeniem o ochronie danych

Czy konieczne są upoważnienia

Z kolei upoważnienia do przetwarzania danych powinny być udzielone wszystkim pracownikom, a nawet zleceniobiorcom zorganizowanym w strukturze administratora, którzy w jego imieniu przetwarzają dane osobowe (art. 28 ust. 1 RODO). Upoważnień udziela też podmiot przetwarzający. Jeżeli zatem administrator danych osobowych poleciłby serwis sprzętu komputerowego i oprogramowania swojemu pracownikowi lub innej osobie zlokalizowanej w strukturze ADO, wówczas – zamiast umowy powierzenia przetwarzania danych – powinien udzielić takiej osobie upoważnienia do przetwarzania danych osobowych lub rozszerzyć dotychczasowe upoważnienie.

Uwaga

Jeżeli natomiast wykonanie serwisu jest zlecane firmie zewnętrznej, wówczas administrator takich upoważnień nie udziela. To podmiot przetwarzający winien wówczas udzielić stosownych upoważnień do przetwarzania danych członkom swojego personelu.

A gdy usługa jest wykonywana nieodpłatnie?

Jak wiemy, każda osoba mająca dostęp do danych osobowych, która nie jest administratorem tychże danych, powinna legitymować się bądź upoważnieniem wydanym przez administratora albo podmiot przetwarzający, bądź też umową powierzenia danych. Upoważnienie przeznaczone jest dla pracowników administratora (podmiotu przetwarzającego) lub innych osób będących z nim w relacji zbliżonej do pracowniczej, tj. stażystów, praktykantów, współpracowników zatrudnionych na umowę cywilnoprawną. Decydujący jest w tym zakresie stopień zależności od administratora danych w zakresie dysponowania danymi osobowymi.

Nie można wykluczyć sytuacji, w której usługę serwisową na rzecz administratora wykona np. znajomy jednego z członków organów firmowych i będzie to usługa wykonana nieodpłatnie – nie w ramach prowadzonej działalności gospodarczej. W takim przypadku dochodzi do zawarcia ustnej umowy o świadczenie usług serwisowych. Przyjmujemy wówczas, że osoba wykonująca usługę mieści się w strukturze administratora. Jeśli zatem osoba wykonująca nieodpłatnie usługę serwisową zobowiązała się do zachowania poufności danych oraz przetwarzania ich wyłącznie na polecenie i w zakresie określonym przez administratora, to wystarczające będzie udzielenie jej upoważnienia do przetwarzania danych. Z uwagi na zasadę rozliczalności (art. 5 ust. 2 RODO), warto taką deklarację (w zakresie poufności) odebrać również na piśmie.

Co powinien zawierać protokół zdawczo-odbiorczy sprzętu komputerowego

Przekazanie sprzętu komputerowego serwisantowi, a co za tym idzie, powierzenie przetwarzania danych, należy odpowiednio udokumentować np. za pomocą protokołu zdawczo-odbiorczego. Żaden akt prawny wprost nie określa elementów składowych takiego protokołu, jednakże ze względów dowodowych (art. 5 ust. 2 RODO) - należy zawrzeć w nim co najmniej informacje na temat:

  • osób, które uczestniczą w czynności przekazania sprzętu komputerowego,
  • samego sprzętu komputerowego (z jakich elementów się on składa),
  • oprogramowania,
  • danych osobowych i ich zabezpieczeń - jeżeli znajdują się na nośnikach danych stanowiących element sprzętu komputerowego,
  • uwag co do stanu, jakości i kompletności sprzętu komputerowego.
Autorzy: Michał Koralewski, Marcin Sarna

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x