W znacznej części przypadków, wykonawca prowadząc wdrożenie systemu ERP uzyskuje dostęp do danych osobowych przetwarzanych w systemach informatycznych zamawiającego. Nader często z sytuacją taką spotykamy się w przypadku wdrożeń systemów informatycznych w obszarach HR oraz w przedsiębiorstwach świadczących usługi dla osób prywatnych, od wodociągów, czy elektrowni poczynając, a na sklepach internetowych kończąc.

Zazwyczaj w powyżej opisanym przypadku, z punktu widzenia regulacji dotyczących ochrony danych osobowych, zamawiający jest administratorem danych zgromadzonych w ramach jego systemów informatycznych.

Zauważmy, iż przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w sposób bardzo szeroki definiują pojęcie „przetwarzania” danych osobowych. Zgodnie ustawą przez „przetwarzanie” danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, w tym zbieranie, utrwalenie, przechowywanie, zmienianie, udostępnianie, czy usuwanie danych osobowych. W konsekwencji, wykonawca prowadząc migrację baz danych zawierających np. dane osobowe pracowników, czy klientów, czy choćby przeglądając takie dane w związku z pracami serwisowymi – dopuszcza się „przetwarzania” danych osobowych.

Powstaje zatem zasadnicze pytanie, jaka jest podstawa prawna tego rodzaju przetwarzania danych osobowych przez wykonawcę ? Przepisy ustawy przewidują, iż administrator danych może nie tylko samodzielnie przetwarzać dane osobowe, lecz również zlecić („powierzyć”) przetwarzanie tychże danych osobowych „zewnętrznemu” podmiotowi. Zgodnie z art. 31 ust. 1 ustawy, powierzenie przetwarzania danych osobowych odbywa się na podstawie pisemnej umowy zawartej przez administratora danych z takim podmiotem („zleceniobiorcą”). A zatem, w powyższym przypadku, strony powinny zawrzeć umowy, na podstawie których zamawiający powierzy wykonawcy przetwarzanie danych osobowych zgromadzonych w systemie informatycznym w celu realizacji umowy wdrożeniowej.  Oczywiście w praktyce powyższe postanowienia mogą znaleźć się w ramach jednego dokumentu umowy, stanowiącego najczęściej załącznik do umowy wdrożeniowej.

Zgodnie z ustawą, zleceniobiorca może przetwarzać dane wyłącznie „w celu” oraz „w zakresie” wskazanym w umowie. Umowa powinna zatem określać przynajmniej „zakres” danych osobowych, tj. rodzaj, kategorie danych, jakie mogą być przetwarzane przez zleceniobiorcę oraz cel przetwarzania powierzonych danych osobowych (np. wykonanie wdrożenia systemu, czy określonych zadań w ramach prac wdrożeniowych). Przetwarzanie przez zleceniobiorcę danych osobowych w szerszym zakresie niż opisany w umowie lub w innych celach niż wskazane w umowie stanowi zarówno naruszenie umowy, jak również naruszenie przepisów ustawy.

Podmiot, któremu powierzono przetwarzanie danych osobowych na podstawie powyżej opisanej umowy, nie staje się administratorem danych. W konsekwencji, nie obciążają go obowiązki ustawowe skierowane wprost do administratora danych (np. obowiązek rejestracji zbioru danych). Ustawa zobowiązuje jednak taki podmiot do zabezpieczenia przetwarzania danych osobowych zgodnie z wymaganiami określonymi w ustawie oraz w rozporządzeniu wykonawczym. Podmiot przetwarzający dane osobowe zobowiązany będzie zatem między innymi do ustanowienia administratora bezpieczeństwa informacji, prowadzenia ewidencji osób upoważnionych do przetwarzania danych oraz dokumentacji opisującej sposób przetwarzania i zabezpieczenia danych. Ustawa dopuszcza jednocześnie przeprowadzanie przez GIODO bezpośredniej kontroli zleceniobiorcy, w zakresie przetwarzania przez niego danych osobowych zgodnie z przepisami prawa.

W praktyce obrotu, umowa o powierzenie przetwarzania danych precyzuje zobowiązania zleceniobiorcy w zakresie zabezpieczenia danych osobowych, a także wprowadza prawo administratora danych do kontroli realizacji tychże zobowiązań przez zleceniobiorcę. Ponadto, w praktyce obrotu, wykonawca realizując wdrożenie często może się posługiwać podwykonawcami. Umowa taka powinna zatem regulować również zasady dalszego powierzenia przetwarzania danych osobowych podwykonawcy.

Roman Bieda