|   |   | 

Programista jako podmiot przetwarzający dane osobowe cz. 1

Popularnym modelem zatrudnienia w IT jest kontrakt B2B. Mało kto jednak wie, że taki rodzaj uregulowania współpracy stwarza zupełnie inne obowiązki związane z przetwarzaniem danych, niż umowa o pracę. Jak zatem uporządkować te kwestie i zapewnić zgodność z RODO?


Na sam początek warto wspomnieć o rolach w procesie przetwarzania zarówno zatrudnianego na B2B programisty, jak i nawiązującego z nim współpracę software house’u, gdyż to one zgodnie z przepisami będą dyktowały wymogi dalszego postępowania. Software house jest na ogół administratorem danych swoich klientów, a zatrudnieni na B2B programiści występują w roli podmiotu przetwarzającego, zwanego także procesorem – o ile oczywiście mają do tych danych dostęp (w większości przypadków tak właśnie jest).


Pierwszym i podstawowym wymogiem jest w tej sytuacji zawarcie umowy powierzenia przetwarzania danych osobowych, która może stanowić załącznik do umowy głównej. Jest to dokument, w którym należy uregulować kwestie, takie jak m.in.:

  • cel, charakter i okres przetwarzania;
  • kategorie przetwarzanych danych;
  • warunki korzystania z usług innego podmiotu przetwarzającego;
  • zobowiązanie podmiotu przetwarzającego do zachowania otrzymanych danych osobowych w poufności;
  • procedury postępowania z danymi po zakończeniu świadczenia usług (a więc to, czy dane te zostaną usunięte, czy zwrócone administratorowi).

Podmiot przetwarzający, zgodnie z art. 28 RODO, przetwarza dane wyłącznie na udokumentowane polecenie administratora oraz podejmuje wszelkie środki zapewniające bezpieczeństwo przetwarzanych danych. Procesor powinien też, uwzględniając charakter przetwarzania i dostępne mu informacje, pomagać administratorowi w wywiązywaniu się z jego obowiązków, takich jak np. obsługa incydentów czy udzielanie odpowiedzi na żądania osób, których dane dotyczą.


Programista, który występuje w roli podmiotu przetwarzającego musi pamiętać o tym, że aby skorzystać z usług innego podmiotu przetwarzającego, powinien uzyskać na to uprzednią zgodę administratora. Tutaj należy zachować szczególną ostrożność, zwłaszcza podczas korzystania z wszelkich narzędzi typu SaaS – jeśli wprowadzane są do nich dane osobowe, ich dostawcy także będą je przetwarzać. Programista powinien więc uzyskać zgodę na korzystanie z konkretnych narzędzi podczas wykonywanej pracy. Ten aspekt warto uregulować już na etapie umowy głównej, określającej warunki współpracy.


Może również dojść do sytuacji, w której sam software house jest podmiotem przetwarzającym, a programista staje się kolejnym procesorem. Będzie tak np. w sytuacji, kiedy klient software house’u powierza mu dane swoich klientów w związku ze zleceniem dotyczącym jego oprogramowania – w tej sytuacji administratorem danych będzie klient software house’u. W takim przypadku w umowie między software housem a programistą na kontrakcie, na programistę powinny zostać nałożone te same obowiązki ochrony danych, jak w umowie powierzenia przetwarzania danych osobowych między software housem a jego klientem, która to umowa powinna spełniać wymogi określone w art. 28 RODO.


Umowa powierzenia to tylko fragment obowiązków związanych z przetwarzaniem danych osobowych przez procesora. O kolejnych aspektach, takich jak odpowiedzialność podmiotu przetwarzającego czy wymagana przez RODO dokumentacja napiszemy w kolejnych tekstach.
Jeśli jednak już teraz chcesz dowiedzieć się więcej na temat zgodnego z prawem przetwarzania danych osobowych, zachęcamy do zapoznania się z naszym przewodnikiem prawnym RODO. Przeczytasz w nim m.in. o podstawach przetwarzania czy karach przewidzianych przez rozporządzenie o ochronie danych osobowych.

Pobierz e-book tutaj: https://legalgeek.pl/przewodnik-prawny-rodo/

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *