Popularnym modelem zatrudnienia w IT jest kontrakt B2B. Mało kto jednak wie, że taki rodzaj uregulowania współpracy stwarza zupełnie inne obowiązki związane z przetwarzaniem danych, niż umowa o pracę. Jak zatem uporządkować te kwestie i zapewnić zgodność z RODO?
Na sam początek warto wspomnieć o rolach w procesie przetwarzania zarówno zatrudnianego na B2B programisty, jak i nawiązującego z nim współpracę software house’u, gdyż to one zgodnie z przepisami będą dyktowały wymogi dalszego postępowania. Software house jest na ogół administratorem danych swoich klientów, a zatrudnieni na B2B programiści występują w roli podmiotu przetwarzającego, zwanego także procesorem – o ile oczywiście mają do tych danych dostęp (w większości przypadków tak właśnie jest).
Pierwszym i podstawowym wymogiem jest w tej sytuacji zawarcie umowy powierzenia przetwarzania danych osobowych, która może stanowić załącznik do umowy głównej. Jest to dokument, w którym należy uregulować kwestie, takie jak m.in.:
- cel, charakter i okres przetwarzania;
- kategorie przetwarzanych danych;
- warunki korzystania z usług innego podmiotu przetwarzającego;
- zobowiązanie podmiotu przetwarzającego do zachowania otrzymanych danych osobowych w poufności;
- procedury postępowania z danymi po zakończeniu świadczenia usług (a więc to, czy dane te zostaną usunięte, czy zwrócone administratorowi).
Podmiot przetwarzający, zgodnie z art. 28 RODO, przetwarza dane wyłącznie na udokumentowane polecenie administratora oraz podejmuje wszelkie środki zapewniające bezpieczeństwo przetwarzanych danych. Procesor powinien też, uwzględniając charakter przetwarzania i dostępne mu informacje, pomagać administratorowi w wywiązywaniu się z jego obowiązków, takich jak np. obsługa incydentów czy udzielanie odpowiedzi na żądania osób, których dane dotyczą.
Programista, który występuje w roli podmiotu przetwarzającego musi pamiętać o tym, że aby skorzystać z usług innego podmiotu przetwarzającego, powinien uzyskać na to uprzednią zgodę administratora. Tutaj należy zachować szczególną ostrożność, zwłaszcza podczas korzystania z wszelkich narzędzi typu SaaS – jeśli wprowadzane są do nich dane osobowe, ich dostawcy także będą je przetwarzać. Programista powinien więc uzyskać zgodę na korzystanie z konkretnych narzędzi podczas wykonywanej pracy. Ten aspekt warto uregulować już na etapie umowy głównej, określającej warunki współpracy.
Może również dojść do sytuacji, w której sam software house jest podmiotem przetwarzającym, a programista staje się kolejnym procesorem. Będzie tak np. w sytuacji, kiedy klient software house’u powierza mu dane swoich klientów w związku ze zleceniem dotyczącym jego oprogramowania – w tej sytuacji administratorem danych będzie klient software house’u. W takim przypadku w umowie między software housem a programistą na kontrakcie, na programistę powinny zostać nałożone te same obowiązki ochrony danych, jak w umowie powierzenia przetwarzania danych osobowych między software housem a jego klientem, która to umowa powinna spełniać wymogi określone w art. 28 RODO.
Umowa powierzenia to tylko fragment obowiązków związanych z przetwarzaniem danych osobowych przez procesora. O kolejnych aspektach, takich jak odpowiedzialność podmiotu przetwarzającego czy wymagana przez RODO dokumentacja napiszemy w kolejnych tekstach.
Jeśli jednak już teraz chcesz dowiedzieć się więcej na temat zgodnego z prawem przetwarzania danych osobowych, zachęcamy do zapoznania się z naszym przewodnikiem prawnym RODO. Przeczytasz w nim m.in. o podstawach przetwarzania czy karach przewidzianych przez rozporządzenie o ochronie danych osobowych.
Pobierz e-book tutaj: https://legalgeek.pl/przewodnik-prawny-rodo/