Praca na systemach informatycznych klienta musi być zgodna z RODO.

Praca na systemach informatycznych klienta musi odpowiadać zasadom ochrony danych osobowych opisanych w RODO. Z tego artykułu dowiesz się:

• czy dostęp do systemów informatycznych klienta jest zgodny z RODO?
• jak zapewnić sobie legalny dostęp do danych osobowych klienta?
• kto odpowiada za ewentualny wyciek danych osobowych z systemu informatycznego, który modyfikujesz?
• czy umowa powierzenia przetwarzania danych osobowych jest Ci potrzebna?

Na te pytania udzielę Ci odpowiedzi wykorzystując ten przykład:

Spółka, na żądanie klienta ma dokonać modyfikacji systemu informatycznego i wdrożyć nowe funkcjonalności. Klient posiada już w swoim systemie dane osobowe swoich kontrahentów, w tym m.in. ich imię i nazwisko, numer telefonu, adres zamieszkania, adres email, historię transakcji oraz zapisane preferencje marketingowe. Spółka technologicznie nie ma żadnego problemu z wdrożeniem zmian. Zastanawia się jedynie, czy może mieć swobodny dostęp do takich danych, które nie należą do niej? Czy praca na takich systemach informatycznych klienta jest zgodna z RODO? I kto – ewentualnie – będzie odpowiadał za wyciek tych danych osobowych, jeśli nastąpi w czasie wdrażania zmian?

Takie działanie będzie zgodne z RODO, jeśli spółka zawrze ze swoim klientem umowę powierzenia przetwarzania danych osobowych. Umowa powinna opisywać zakres uprawnień spółki oraz potwierdzać, że zapewnia ona odpowiedni poziom ochrony tych danych. Spółka także ponosi odpowiedzialność za wyciek danych. Może się jednak od tej odpowiedzialności uwolnić.

Praca na systemach informatycznych klienta zgodna z RODO – określ zakres prac i zdefiniuj swoją rolę w procesie.

Wraz z rozwojem biznesu często okazuje się, że początkowa wersja systemów informatycznych, z których Klient korzysta przestaje być wystarczająca. W takiej sytuacji potrzeba wdrożenia nowych funkcjonalności jest nieunikniona. Oznacza to, że zmian trzeba dokonać na „żywym organiźmie”, tj. w systemie, który zawiera już dane osobowe oraz często całą historię relacji biznesowych. Jeśli właśnie przyjąłeś takie zlecenie zwróć uwagę na aspekt dotyczący ochrony danych osobowych.

Dlaczego jest to ważne?

Zauważ, że właścicielem informacji zawartych w systemach informatycznych jest klient. To on ustalił konkretny cel, w jakim przetwarza dane osobowe, wie jaka jest podstawa prawna do korzystania z tych danych, a także określa sposoby ich wykorzystania. Oznacza to, że klient jest administatorem danych osobowych. Z tego punktu widzenia Ty (tj. spółka z naszego przykładu) – jesteś kimś zupełnie obcym w stosunku do osób, których dane przetwarzane są w systemach informatycznych. A pomimo tego dostajesz do nich dostęp i je przetwarzasz. Stajesz się więc za nie współodpowiedzialny. Musisz więc zadbać o to, żeby przetwarzanie tych danych osobowych było przez Ciebie legalne. Zgodnie z ogólnym rozporządzeniem o ochronie danych osobowych przetwarzaniem będzie z kolei m.in. organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie czy przeglądanie danych osobowych. Między innymi te czynności będziesz musiał wykonać w systemach informatycznych klienta zgodnie z RODO. Zadbaj więc o zawarcie umowy powierzenia przetwarzania danych osobowych.

Czy świadczysz swoje usługi w sposób gwarantujący odpowiedni poziom ochrony danych osobowych? – klient mówi: „Sprawdzam!”

Informacje zawarte w systemach informatycznych są dla kienta niezwykle cenne. Z tego powodu chce mieć on pewność, że świadcząc swoje usługi zapewnisz co najmniej taką samą ochronę danych osobowych, jaką zapewnia on sam. W tym celu, przed zawarciem umowy o współpracy i umowy powierzenia przetwarzania danych osobowych może poprosić Cię o potwierdzenie, że Twoje podejście do zasad ochrony prywatności jest zgodne z RODO.

O co może pytać klient?

Klient może przed zawarciem umowy przesłać Ci ankietę, na podstawie których oceni, czy współpraca z Tobą jest dla niego bezpieczna. Lista pytań dotyczy zagadnień wskazanych w ogólnym rozporządzeniu o ochronie danych i sprawdza, czy zasady, którymi należy się kierować przy przetwarzaniu danych osobowych są przez Ciebie przestrzegane.

Przykładowe pytania, które może zadać Ci klient są następujące:

• czy programiści dedykowani do realizacji usług zostali zobowiązani do zachowania w tajemnicy informacji zawartych w systemach informatycznych?
• czy Spółka jest w stanie wykazać, że przestrzega zasad przetwarzania danych osobowych? W jaki sposób?
• czy zapewniono zdolność przywrócenia dostępu do danych osobowych w przypadku wystąpienia incydentu?
• czy miała miejsce kontrola, postępowanie wyjaśniające lub inne działania prowadzone przez Prezesa UODO? Jeśli tak, to jaki był ich wynik?
• czy Spółka stosuje środki bezpieczeństwa w celu zapewnienia ochrony danych osobowych w czasie ich przechowywania? Jeśli tak, to jakie?

Twoje odpowiedzi na przesłaną listę pytań stanowią ważny dowód na temat tego, czy klient dochował należytej staranności przy wyborze procesora, czyli Ciebie. Pamiętaj więc, co w niej oświadczasz. Listę pytań z udzielonymi odpowiedziami zachowaj też w swojej dokumentacji.

Zanim zaczniesz wdrażać nowe funkcjonalności w systemach informatycznych klienta pomyśl o swoim bezpieczeństwie i zawrzyj umowę.

Umowa powierzenia przetwarzania danych osobowych powinna m.in. określać:

• w jakim zakresie dostajesz dostęp do danych osobowych,
• w jakim celu,
• na jak długo i 
• co możesz z tymi danymi zrobić.

Istotne jest dla Ciebie, aby ta umowa określała dokładnie cel i sposobów przetwarzania danych, do których będziesz miał dostęp. Musisz bowiem znać ramy, w których masz się poruszać świadcząc swoje usługi.

Dlaczego jest to dla Ciebie ważne?

Podejmowanie decyzji o celach i sposobach przetwarzania danych jest zarezerwowane dla administratora danych osobowych. Ty – jako podmiot przetwarzający – możesz działać jedynie w ramach przez niego określonych. Jeśli ten zakres przekroczysz, będziesz zgodnie z art. 28 ust. 10 RODO traktowany w zakresie odpowidzialności tak jak administrator. A to znaczy, że Twoja odpowiedzialność będzie wtedy większa. Dla przypomnienia naruszenie przepisów RODO jest zagrożone m.in. administracyjną karą pieniężną w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Co najmniej z tego powodu powinieneś zadbać o to, aby umowa określała co i w jakim zakresie wolno Ci robić z danymi osobowymi.

Przetwarzanie danych osobowych przez podmiot przetwarzający, a jego odpowiedzialność według RODO.

Wprowadzajac modyfikacje do systemu informatycznego klienta stajesz się podmiotem przetwarzającym przechowywane tam dane osobowe i zaczynasz być za nie współodpowiedzialny. Jednak – co jest dla Ciebie bardzo ważne – Twoja odpowiedzialność nie jest aż tak szeroka jak odpowiedzialność administratora danych. Zgodnie z art. 82 ust. 2 zdanie drugie RODO:

Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie (tj. RODO) nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem poleceniami administratora lub wbrew takim poleceniom.

Ten fragment przepisu powinien Ci uświadomić, że treść zawieranej umowy powierzenia przetwarzania danych osobowych jest dla Ciebie szczególnie istotna. To zgodnie z jej treścią będzie oceniane, czy modyfikowałeś system informatyczny klienta z zachowaniem zasad ochrony danych osobowych. Zakres Twojej odpowiedzialności jest więc ściśle powiązany z zakresem nałożonych na Ciebie obowiązków. Z tego powodu ten fragment umowy powinien zwrócić Twoją szczególną uwagę.

A jak to przełożyć na praktykę?

Wyobraź sobie sytuację, w której coś poszło „nie tak” i nastąpił wyciek danych osobowych z systemu, który modyfikujesz. Kilka osób poniosło w związku z tym szkodę. Te osoby mogą żądać odszkodowania zarówno od Ciebie (procesora), jak i Twojego klienta (administratora danych osobowych). Wasza odpowiedzialność jest bowiem solidarna. Jak możesz się przed tym bronić? Udowadniając, że nie ponosisz winy za ten incydent, ponieważ działałeś zgodnie z umową i ogólnymi przepisami o ochronie danych osobowych. W Twoim interesie jest więc zadbanie o dowody na legalność Twoich działań w ciągu trwania całego projektu wdrożenia. A żeby je zebrać musisz też bez problemu wskazać, jak szeroki jest Twój zakres uprawnień. Musisz znać treść podpisywanej umowy.

Modyfikacje w systemach informatycznych klienta z uwzględnieniem RODO – wnioski.

Wdrożenie nowych funkcjonalności w systemie informatycznym klienta powinno być poprzedzone zawarciem zarówno umowy głównej, jak umowy powierzenia przetwarzania danych osobowych. W celu zapewnienia sobie komfortu i bezpieczeństwa współpracy, należy uwzględnić aspekt ochrony danych osobowych.

Podsumowując:

• jeżeli wdrożenie nowych funkcjonalności w systemie informatycznym klienta wiążę się z dostępem (nawet potencjalnym) do zgromadzonych tam danych osobowych, to należy uwzględnić aspekt ochrony prywatności,
• klient powinien do współpracy dobierać sobie tylko takich kontrahentów, którzy zapewniają odpowiedni poziom ochrony danych osobowych; w związku z powyższym klient może żądać od Ciebie odpowiedzi na pytania związane z zasadami ochrony tych danych, które powinieneś umieć spełnić,
• umowa powierzenia przetwarzania danych osobowych jest dokumentem, który określa ramy, jakich powinieneś się trzymać przetwarzając dane osobowe klienta w systemach informatycznych,
• jako podmiot przetwarzający (procesor) znajdujących się w systemach informatycznych danych osobowych jesteś odpowiedzialny za naruszenie przepisów RODO,
• udowadniając, że działasz zgodnie z RODO i w zakresie uprawnień nadanych Ci przez klienta możesz zwolnić się od odpowiedzialności za ewentualne incydenty.