Uniwersalne zasady ochrony danych osobowych w firmie, omówiłem w artykule RODO a wycieki danych pracowników - jak się zabezpieczyć?, we fragmencie „Na co zwracać uwagę na codziennie?”. Jednak dodatkowo w branży IT popularne jest również, świadczenie usług dla kilka dużych klientów lub realizowanie zleceń przy okazji większych projektów, a wymagających zaangażowania kogoś z zewnątrz, które nie wpisują się w dotychczas opisywane modele.
Dla potrzeb naszego artykułu najłatwiej przyjąć, że freelancerem będzie osoba, która:
Nie jest to co do zasady osoba, która stale współpracuje w firmą, na jej sprzęcie i w jej biurze, gdzie jedynym wyróżnikiem od zwykłych pracowników byłoby wystawienie faktury na koniec miesiąca (wtedy raczej mówimy o osobie na B2B/samozatrudnionej).
Jako freelancerów, faktycznie nie obowiązują nas więc pewne rygory, co wiąże się jednak z tym, że my sami musimy ustalić zasady bezpieczeństwa danych naszych klientów – dobór odpowiedniego sprzętu, oprogramowania antywirusowego, czy nawet, wydawałoby się tak nieistotnych elementów jak wybór miejsca, gdzie zostawiamy nasz komputer, by nie był dostępny dla osób postronnych.
Katalog danych osobowych, jakie może pozyskiwać od nas firma na samym początku współpracy, będzie określała umowa. Co do zasady, podstawą prawną będzie tu niezbędność do wykonania umowy, której jesteśmy stroną, a nie nasza zgoda (art. 6 ust. 1 lit b RODO), więc analogicznie, jak ma to miejsce w przypadku osób samozatrudnionych.
Do katalogu typowych danych, jakie będą przetwarzane w związku ze świadczeniem przez nas usług, będą należały najczęściej: dane kontaktowe oraz dane rozliczeniowe wskazane na fakturze (nazwa firmy, adres siedziby, NIP). Jeśli proponowane są nam jakieś dodatkowe bonusy (np. karta MultiSport), wymagające innych danych – firmy mogą wymagać dodatkowo naszej zgody.
Nasza niezależność od firm jako freelancerów wiąże się z kilkoma obowiązkami odnośnie danych osobowych Klienta, które są nam powierzane:
1. Powinniśmy w umowie, którą podpisujemy, dołączyć klauzulę informującą w jakim celu i na jakich zasadach będziemy przetwarzali dane osobowe.
Ważne!
Wydaje się to może mało istotny wymóg, ale pierwsza kara pieniężna nałożona w Polsce za złamanie zasad ochrony danych osobowych nałożona została w związku z niespełnieniem obowiązku informacyjnego – co prawda w skali daleko większej niż w zwykłej umowie, ale jednak.
2. Powinniśmy oprócz umowy o świadczenie usług podpisać dodatkowo umowę powierzenia danych w której klient powierza nam dane, które będziemy przetwarzali w jego imieniu w celu prawidłowej realizacji umowy.
Ważne!
Z naszego punktu widzenia bardzo ważne jest to, żeby umowa powierzenia szczegółowo zawierała opis środków technicznych i organizacyjnych, jakich wymaga od nas klient (administrator danych) w celu zabezpieczenia danych – brak takiego opisu lub lakoniczność może w praktyce przerzucać na nas część odpowiedzialności, np. poprzez wskazanie, że nie zastosowaliśmy powszechnie obowiązującego standardu X, co spowodowało wyciek danych.
Mając na uwadze coraz powszechniejszą praktykę rynkową, limit naszej odpowiedzialności w umowie głównej warto również rozszerzyć na postanowienia dot. umowy powierzenia danych.
Podpisując umowę powierzenia danych, warto zwrócić uwagę na kilka postanowień, które umieszczane są w nich standardowo, a które powinniśmy zawsze zweryfikować przed podpisaniem:
Jak wskazałem na wstępie, warto również w ramach umowy powierzenia wprowadzić ograniczenie odpowiedzialności do określonej wynegocjowanej wysokości. Warto mieć jednak na uwadze, że to ograniczenie może być nieskuteczne, jeśli celowo zaniedbaliśmy np. stosowanie ustalonych umownie zabezpieczeń.
Warto zwrócić również uwagę na kary umowne dot. ewentualnych naruszeń zasad ochrony danych osobowych – powinny jak najbardziej szczegółowo opisywać zasady ich nakładania.
Przykład
W przypadku ramowego jedynie określenia, iż kara umowna może zostać za naruszenie zabezpieczeń technicznych lub organizacyjnych wskazanych w umowie, w praktyce nawet drobne naruszenie może wiązać się z naszą odpowiedzialnością, która przewyższałaby szkodę.
Umowa powierzenia powinna co najmniej spełniać warunki szczegółowo opisane w art. 28 – 29 (określenie zasad powierzenia) oraz art. 32-34 RODO (określenie zasad bezpieczeństwa). W celu uniknięcia wątpliwości, w umowie powierzenia zawsze warto zawrzeć informacje o sposobie przekazywania informacji o zdarzeniach nagłych po godzinach pracy. Dobrym rozwiązaniem jest tu np. określenie telefonu kontaktowego do administracji IT firmy czynnego w ramach wsparcia 24/7 lub telefonu prywatnego do osoby decyzyjnej.
Tak, w przypadku jeśli prowadzisz własną działalność, poza faktem że w stosunku do firm, które powierzają Ci dane osobowe swoich klientów, jesteś procesorem, decydujesz jednocześnie o celach i środkach przetwarzania danych osobowych swoich klientów (np. pracownicy klienta – kontaktujący się w ramach wykonywania umowy).
Przepisy ochrony danych osobowych nie nakładają formalistycznych zasad prowadzenia dokumentacji – warto jednak zauważyć, że dobrze spisana polityka prywatności oraz prowadzenie rejestru czynności przetwarzania danych (nawet jeśli nie jesteśmy prawnie zobligowani do jego prowadzenia), pomogą nam nie tylko w sprawnym zarządzaniu danymi, ale również w budowaniu wizerunku profesjonalisty.
Warto też mieć spisane używane przez nas klauzule informacyjne, które mamy obowiązek, jako przedsiębiorcy, przedstawić osobom fizycznym, których dane osobowe będziemy zbierali w ramach realizacji naszych usług.
Ważne!
W przypadku współpracy, głównie z klientami korporacyjnymi, dobrą praktyką i metodą na przedstawienie klauzuli informacyjnej może być dołączenie stosownej informacji do stopki naszego emaila.
W przypadku, jeżeli przetwarzamy bardzo duże ilości danych na zlecenie naszych klientów, np. mając dostęp do repozytoriów danych ich klientów (kilkanaście – kilkadziesiąt tysięcy osób – wzwyż), może być konieczne wyznaczenie przez nas Inspektora Ochrony Danych Osobowych, co powinniśmy zweryfikować przy okazji zawierania umów z nowymi klientami.
Nawet jeśli u Klienta nie przyjęto spisanych zasad ochrony danych osobowych, istnieją pewne fundamentalne zasady, których zawsze należy przestrzegać. Skrzętnie spisałem je już w artykule RODO a wycieki danych pracowników - jak się zabezpieczyć?, we fragmencie „Na co zwracać uwagę na codziennie?”
W przeciwieństwie do pracowników zatrudnionych na podstawie umowy o pracę, w przypadku kontraktów B2B nie ma limitów odpowiedzialności. Z uwagi na możliwe nałożenie kary w przypadku naruszenia przez nas zasad bezpieczeństwa, w odniesieniu do przychodu naszego klienta (nawet do 4% jego obrotu lub równowartości 20 milionów euro), w celu zapewnienia nam bezpieczeństwa prawnego, warto w umowie współpracy oraz w umowie powierzenia określić zakres naszej odpowiedzialności ograniczając ją np. do określonej wielokrotności naszego wynagrodzenia.
Mając na uwadze chęć uniknięcia ewentualnych sporów, warto sygnalizować zauważone luki w standardach bezpieczeństwa oraz archiwizować tego rodzaju korespondencje na wypadek ewentualnych przyszłych sporów.