Korzystanie z dedykowanego oprogramowania dostarczanego przez zewnętrzne firmy jest obecnie standardem. Takie rozwiązanie to wygoda, ograniczenie kosztów i możliwość skupienia się przez organizację na jej podstawowych celach. Trzeba mieć na uwadze, że zewnętrzny software, to również sytuacja, w której przekazujemy zewnętrznej firmie dostęp do naszych danych i informacji. Dotyczy to przede wszystkim oprogramowania w modelu SaaS. Ma to istotne znacznie nie tylko w kontekście ochrony tajemnicy firmy, ale również w kontekście ochrony danych osobowych i zmian jakie wprowadza od maja 2018 r. RODO.
SaaS a dane osobowe
SaaS czyli jeden z rodzajów oprogramowania, który nie wymaga fizycznego instalowania na komputerze użytkownika, a całość rozwiązań informatycznych jest dostarczana za pośrednictwem internetu. Dzięki temu użytkownik systemu SaaS nie musi martwić się instalacją, utrzymaniem czy aktualizacją oprogramowania. Kwestie te leżą po stronie dostawcy software’u. Z drugiej strony, użytkownik systemu SaaS w celu korzystania z oprogramowania wprowadza do serwerów kontrolowanych przez usługodawcę szereg informacji, w tym danych osobowych. Przykładowo, korzystając z programu do obsługi kadr i płac udostępnionym w modelu SaaS, do oprogramowania wprowadzanych może być szereg danych pracowników. Dane te mogą obejmować ich dane adresowe i dane finansowe. Ponadto, mogą również obejmować dane a o wykorzystanych urlopach czy zwolnieniach lekarskich. Przekazywanie takich danych wymaga odpowiedniego uregulowania prawnego, w tym zawarcia stosownej umowy z dostawcą oprogramowania SaaS.
Dostawca SaaS jako podmiot przetwarzający
W związku z dostępem do danych osobowych przekazywanych przez korzystającego z oprogramowania SaaS, dostawca oprogramowania staje się tzw. podmiotem przetwarzającym (procesorem). Podmiot przetwarzający to osoba bądź instytucja, która przetwarza dane osobowe na polecenie innej osoby bądź instytucji. Innymi słowy, podmiot przetwarzający uzyskuje dostęp do danych osobowych przekazywanych przez inną osobę i przetwarza te dane w imieniu i na rzecz tej osoby. RODO wymaga, aby takie przekazywanie danych osobowych odbywało się na podstawie ważnej umowy. Dokładne wytyczne co do treści umowy pomiędzy przekazującym dane osobowe administratorem a podmiotem przetwarzającym reguluje art. 28 RODO.
Strony takiej umowy określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania oraz rodzaj danych osobowych, które mają być udostępnione na podstawie tej umowy. Ponadto strony umowy określają kategorie osób, których dane dotyczą, jak również prawa i obowiązki administratora, w tym w zakresie kontroli podmiotu przetwarzającego.
RODO wymaga również, żeby przekazanie danych do podmiotu przetwarzającego odbywało się wyłącznie do podmiotów rzetelnych. RODO wprowadza bowiem obowiązek przekazywania danych osobowych tylko podmiotom przetwarzającym, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Zastosowane środki techniczne i organizacyjne muszą zapewnić, że przekazane dane osobowe będą bezpieczne. Ponadto, środki te mają za zadanie wykazanie, że podmiot przetwarza dane osobowe zgodnie z RODO.
Treść umowy o SaaS a dane osobowe
Umowa o świadczenie usług SaaS powinna oprócz kwestii ściśle związanych z samą licencją na oprogramowania powinna uwzględniać wymagania art. 28 RODO. Podmiot przetwarzający (dostawca SaaS) powinien zobowiązać się między innymi do:
-
zachowania w pełnej tajemnicy przekazanych danych osobowych i dopuścić do przetwarzania danych tylko osoby upoważnione;
-
usunięcia lub zwrotu danych osobowych administratorowi po zakończeniu świadczenia usług;
-
przetwarzania danych tylko na polecenie administratora; co oznacza, że podmiot przetwarzający nie może dowolnie przetwarzać danych osobowych;
-
zapewnienia bezpieczeństwa danych, w tym poprzez ich pseudonimizację czy szyfrowanie;
-
nieprzekazywania danych osobowych innym podmiotom bez zgody administratora.
Dotychczasowe umowy na dostarczanie usług SaaS muszą zostać zaktualizowane, tak aby odpowiadały treści art. 28 RODO.
Pomoc w negocjacji umowy
Jeżeli masz zawarte umowy o oprogramowanie SaaS lub inne umowy, w związku z którymi dostawca oprogramowania ma dostęp do Twoich danych, skontaktuj się z nami. Pomożemy Ci dostosować te umowy do wymogów RODO. Przeprowadzimy również w Twojej organizacji wdrożenie ochrony danych osobowych. Zapraszamy do kontaktu.
