265
0
Polecane

Outsourcing usług IT a RODO – jak bezpiecznie powierzać dane osobowe usługodawcom?

Patrycja Myśliwiec
Patrycja Myśliwiec
17 czerwca, 2025 · 5 min read
265
0

Współpraca z podmiotami świadczącymi usługi IT stała się nieodłącznym elementem prowadzenia biznesu – niezależnie od branży. Zewnętrzne firmy najczęściej odpowiadają za administrowanie systemami oraz serwerami, obsługę stron internetowych, zarządzanie bazami danych, czy wsparcie serwisowe. Tego rodzaju współpraca przeważnie wymaga przetwarzania przez usługodawcę danych osobowych pracowników, kontrahentów lub podwykonawców klienta. O czym zatem należy pamiętać w momencie nawiązania współpracy z firmą IT i jaką odpowiedzialność w zakresie ochrony danych osobowych ponoszą tego rodzaju podmioty?

Status podmiotu świadczącego usługi IT.

Co do zasady każdy podmiot, który przetwarza dane osobowe na zlecenie oraz w imieniu administratora jest podmiotem przetwarzającym. W przypadku podmiotów świadczących usługi IT najczęściej odbywa się to poza zasobami administratora oraz w odrębnej lokalizacji, dlatego niezbędne jest zawarcie umowy powierzenia przetwarzania danych osobowych, której celem będzie wskazanie zasad ochrony danych osobowych, warunków, w jakich administrator może kontrolować działanie podmiotu IT oraz ustalenie odpowiedzialności za naruszenie zasad bezpieczeństwa danych osobowych oraz postanowień zawartej pomiędzy stronami umowy.

Porozmawiaj z ekspertem 🎯

Borykasz się z zagadnieniem, które tutaj poruszyłem? Skontaktuj się ze mną! Wspólnie znajdziemy najlepsze rozwiązanie dla Twojego biznesu.

Bezpłatna konsultacja

Weryfikacja podmiotu świadczącego usługi IT.

Zanim jednak przystąpimy do zawarcia z podmiotem świadczącym usługi IT umowy powierzenia przetwarzania danych osobowych, to zgodnie z treścią art. 28 ust. 1 RODO niezbędne jest uprzednie zweryfikowanie usługodawcy w zakresie stosowania przez niego środków technicznych i organizacyjnych, tak aby przetwarzanie spełniało wymogi rozporządzenia 2016/679 (RODO) i chroniło prawa osób, których dane dotyczą. Co istotne, zapewnienie ww. środków przez podmiot IT jest wymagane przez cały okres trwania umowy, a nie wyłącznie w momencie jej zawarcia, tym bardziej że obecnie skala zagrożeń cybernetycznych stale wzrasta i niejednokrotnie dochodzi do sytuacji, w których w momencie zawarcia umowy określone środki bezpieczeństwa spełniały swoją rolę, ale po roku świadczenia usług okazują się nieaktualne i przestarzałe.

Administrator danych osobowych ponosi odpowiedzialność za wybór podmiotu przetwarzającego, a zgodnie z zasadą rozliczalności określoną w art. 5 ust. 2 RODO, jest zatem zobowiązany wykazać, że wybór ten został dokonany w sposób należyty i uzasadniony. W związku z tym szczególnego znaczenia nabiera staranna i wnikliwa weryfikacja podmiotu, któremu powierzane jest przetwarzanie danych osobowych.

W jaki sposób dokonać weryfikacji podmiotu świadczącego usługi IT? Niestety RODO nie wskazuje wprost, jakie aspekty należy wziąć pod uwagę. Zgodnie z treścią Wytycznych 07/2020 Europejskiej Rady Ochrony Danych (EROD) dotyczących pojęć administratora i podmiotu przetwarzającego przyjętych w dniu 7 lipca 2021 roku wynika, że elementami, na które należy zwrócić uwagę mogą być: wiedza fachowa podmiotu, jego wiarygodność, zasoby podmiotu przetwarzającego oraz stosowanie przez niego kodeksu postępowania lub określonego mechanizmu certyfikacji (np. ISO 27001).

Zgodnie z treścią ww. wytycznych ocena administratora, czy przedstawione przez podmiot przetwarzający gwarancje są wystarczające, jest formą oceny ryzyka, która w znacznym stopniu zależy od rodzaju przetwarzania i musi być dokonywana indywidualnie dla każdego przypadku, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania, a także zagrożeń dla praw i wolności osób fizycznych, których dane dotyczą.

Jedną z najczęściej stosowanych form weryfikacji podmiotu przetwarzającego w zakresie zapewnienia gwarancji bezpieczeństwa danych osobowych jest ankieta weryfikacyjna. Na podstawie informacji w niej zawartych administrator może dokonać oceny, czy stosowane przez podmiot świadczący usługi IT środki techniczne i organizacyjne zapewniają gwarancję bezpieczeństwa. W ankiecie powinny znaleźć się pytania dot. m.in.:

  • a)stosowania odpowiednich zabezpieczeń poczty elektronicznej tj. szyfrowania danych za pomocą protokołu SSL/TLS pomiędzy użytkownikiem a dostawcą poczty, ochrony przed spamem i złośliwym oprogramowaniem, autentykacji dwu lub wielotorowej przy logowaniu do poczty elektronicznej, zastosowaniu oprogramowania antywirusowego itd.;
  • b)stosowanych zasad i procedur związanych z tworzeniem oraz archiwizacją kopii bezpieczeństwa (serwery, stacje robocze, dyski, bazy danych, sprzęt komputerowy itp.)
  • c)zabezpieczeń stosowanych na wypadek awarii serwerów pocztowych;
  • d)mechanizmów ochrony stosowanych dla sieci lokalnej, w szczególności informacji dot. zabezpieczeń sprzętu i sieci przed siłami wyższymi ( np.pożar, zalanie);
  • e)środków bezpieczeństwa stosowanych dla posiadanego sprzętu komputerowego;
  • f) informacji dot. wyznaczenia Inspektora Ochrony Danych lub wskazania osoby, która w danym podmiocie odpowiada za bezpieczeństwo danych;
  • g) informacji dot. przeprowadzonych w podmiocie audytów IT.

Dobrą praktyką jest również weryfikacja dokumentacji w zakresie bezpieczeństwa informacji posiadana przez podmiot IT, choć często zdarza się, że podmioty świadczące tego rodzaju usługi odmawiają jej udostępnienia z uwagi na poufność informacji w niej zawartych.

Umowa powierzenia przetwarzania danych osobowych z podmiotem świadczącym usługi IT – na co zwrócić uwagę?

Przygotowując umowę powierzenia przetwarzania danych osobowych należy uwzględnić, w szczególności:

  • a)precyzyjne określenie przedmiotu, charakteru i celu przetwarzania, rodzaju danych osobowych, których przetwarzanie dotyczy, a ponadto wskazanie okresu, przez jaki ww. dane będą przetwarzane przez podmiot przetwarzający oraz wyraźne wskazanie w umowie, że podmiot ten przetwarza ww. dane wyłącznie na udokumentowane polecenie i zgodnie z instrukcjami administratora;
  • b)zobowiązanie podmiotu IT do zachowania w tajemnicy wszelkich danych oraz informacji związanych z realizacją usługi, w szczególności członków jego personelu  -bez względu na podstawę prawną współpracy;
  • c)zastrzeżenie możliwości przeprowadzania w podmiocie przetwarzającym audytów lub inspekcji, które będą stanowiły dla Administratora narzędzie umożliwiające pełnienie kontroli nad prawidłową realizacją zawartej umowy;
  • d)zobowiązanie podmiotu świadczącego usługi IT do zabezpieczenia urządzeń i systemów informatycznych służących do przetwarzania danych osobowych, zapewniając odpowiedni poziom bezpieczeństwa w oparciu o przeprowadzoną analizę ryzyka i zagrożeń zgodnie z treścią art. 32 RODO. Jedną z możliwych form realizacji ww. zobowiązania jest wskazanie przez podmiot świadczący usługi IT dotychczas stosowanych środków (np. w formie odrębnej listy), które następnie mogą zostać zaakceptowane lub zmodyfikowane przez administratora. W postanowieniach umowy należy również zastrzec obowiązek zapewnienia przez podmiot IT zdolności do szybkiego przywrócenia dostępności danych osobowych oraz dostępu do nich w razie incydentu fizycznego lub technicznego, a także określić zasady tworzenia i archiwizowania kopii zapasowych;
  • e)zastrzeżenie w umowie prawa administratora do żądania od podmiotu przetwarzającego na każdym etapie realizacji umowy przedstawienia dowodów wdrożenia odpowiednich zabezpieczeń technicznych i organizacyjnych. Zastosowane przez podmiot przetwarzający środki powinny być zawsze adekwatne do charakteru i ryzyka przetwarzania danych;
  • f)potwierdzenie przez podmiot świadczący usługi IT usunięcia lub zwrotu danych osobowych po zakończonej współpracy;
  • g)określenie możliwości korzystania przez podmiot przetwarzający z usług dalszych podmiotów (podwykonawców usług IT), w tym zasady ich akceptacji przez administratora oraz przetwarzania powierzonych danych osobowych poza obszarem EOG,
  • h)obowiązek zgłaszania Administratorowi wszelkich naruszeń ochrony danych osobowych bez zbędnej zwłoki;
  • i) obowiązek wsparcia administratora w wywiązaniu się z obowiązków wskazanych w art. 32-36 RODO oraz w zakresie żądań osób, których dane dotyczą.

Ww. katalog nie jest zamknięty i wskazuje najistotniejsze kwestie, które powinny zostać uregulowane w umowie pomiędzy administratorem a podmiotem IT. Tworząc postanowienia umowy nie można zapomnieć o art. 28 ust. 3 RODO, który stanowi o niezbędnych elementach umowy. Ostateczna forma umowy będzie zależała od specyfiki współpracy, rodzaju świadczonych usług oraz wymogów prawnych i organizacyjnych obu stron. Umowę należy zawrzeć w formie pisemnej, w tym elektroniczną. Praktyka dopuszcza jednak zawarcie umowy w formie dokumentowej.

Odpowiedzialność podmiotu przetwarzającego.

Podmiot świadczący usługi IT ponosi przede wszystkim odpowiedzialność za niewykonanie lub nienależyte wykonanie postanowień zawartych w umowie. W zależności od charakteru konkretnej umowy, odpowiedzialności tego podmiotu można dochodzić na zasadach ogólnych wynikających z Kodeksu cywilnego lub na podstawie zastrzeżonych w umowie kar umownych.

Podmiot świadczący usługi IT ponosi również odpowiedzialność administracyjną za przetwarzanie powierzonych danych osobowych niezgodnie z przepisami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO), a także za przetwarzanie powierzonych danych osobowych niezgodnie z celem i sposobem przetwarzania danych osobowych wskazanym przez Administratora.

Podsumowanie

Administrator ma obowiązek nie tylko starannie wybrać podmiot świadczący usługi IT, ale również zawrzeć z nim umowę powierzenia przetwarzania danych osobowych zgodną z art. 28 RODO. Kluczowe jest precyzyjne określenie celu, zakresu i zasad przetwarzania danych, a także zapewnienie przez usługodawcę odpowiednich zabezpieczeń technicznych i organizacyjnych. W umowie należy również uregulować kwestie audytów, zasad korzystania z podwykonawców, zgłaszania naruszeń oraz sposobu postępowania z danymi po zakończeniu współpracy. Outsourcing usług IT może przynieść wiele korzyści organizacyjnych i technologicznych, ale wymaga świadomego podejścia do ochrony danych osobowych – zarówno od strony formalnej, jak i praktycznej.

Patrycja Myśliwiec
PRAWNIK

Specjalizuję się w ochronie danych osobowych i bezpieczeństwie informacji. Od ponad 10 lat wspieram firmy i instytucje w zgodności z RODO, audytach oraz wdrażaniu systemów ochrony danych. Mam doświadczenie jako Inspektor Ochrony Danych i audytor. Pomagam organizacjom tworzyć bezpieczne i zgodne z prawem rozwiązania.

Skontaktuj się ze mną, chętnie odpowiem na Twoje pytania dotyczące naszej oferty i przedstawię rozwiązania dostosowane do Twojego biznesu.

Bezpłatna konsultacja