Krasuski Andrzej, Outsourcing danych osobowych w działalności przedsiębiorstw

W dobie globalizacji, tożsamość miejsca gromadzenia i dalszego przetwarzania danych osobowych przestaje mieć istotne znaczenie w działalności przedsiębiorstw. W praktyce bowiem wybór podmiotu, który faktycznie przetwarza dane osobowe, wynika z jednej strony z decyzji wewnątrzkorporacyjnych, mających na celu na przykład skupienie w jednej spółce holdingowej procesów związanych z przetwarzaniem danych (np. księgowych, rozliczeniowych). Z drugiej strony, coraz częściej, jest rezultatem poszukiwań przedsiębiorców, dla których obniżenie kosztów przetwarzania stanowi ważny cel. Istotny wpływ na te tendencje ma globalne spowolnienie gospodarcze. Przedsiębiorcy, w poszukiwaniu oszczędności, z większą uwagą postrzegają dziś zagadnienia optymalizacji prowadzonej działalności gospodarczej.

Regulacje prawne dotyczące przekazywania danych osobowych mają charakter złożony, a ich źródło stanowią przepisy prawa wspólnotowego. W prawie polskim wymogi dotyczące ujawnienia danych osobowych, gromadzenia i dalszego przetwarzania danych osobowych, jak również uprawnień osoby fizycznej, której dane dotyczą, określone zostały w normach konstytucyjnych, tj. w art. 47 oraz w art. 51 Konstytucji. Konkretyzacja norm konstytucyjnych znalazła odzwierciedlenie w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych. Ustawa o ochronie danych osobowych nie jest jedyną regulacją prawną dotyczącą ochrony danych osobowych, gdyż obowiązują przepisy szczególne określone w ustawach regulujących dany obszar prowadzonej działalności, w tym np. ustawa z 16 lipca 2004 r. - Prawo telekomunikacyjne, ustawa z 29 sierpnia 1997 r. - Prawo bankowe, ustawa z 22 maja 2003 r. o działalności ubezpieczeniowej i inne.

Z powyższych względów wybór, stosowanie i interpretacja właściwych przepisów dotyczących ochrony danych osobowych nie jest zagadnieniem łatwym. Ze względu na szeroki zakres zastosowania definicji „danych osobowych” oraz „przetwarzania danych osobowych”(rozumianego jako wszelkie czynności wykonywane na danych osobowych), przedsiębiorcy z przetwarzaniem danych osobowych mają do czynienia praktycznie na każdym etapie prowadzonej przez nich działalności gospodarczej. Zakres zastosowania ustawy o ochronie danych osobowych obejmuje przetwarzanie danych osobowych zarówno w stosunku wewnętrznym, a więc w relacji pracodawcy do pracowników i współpracowników, jak również w stosunku zewnętrznym, tj. w stosunku do klientów (potencjalnych klientów) i innych przedsiębiorców. W stosunku zewnętrznym przedsiębiorca przetwarzający dane osobowe działa jako administrator danych bądź jako przetwarzający.

Podstawę prawną do przekazania danych osobowych podmiotowi trzeciemu w ramach tego samego celu przetwarzania danych osobowych stanowi umowa powierzenia przetwarzania danych osobowych. Umowy te są zawierane powszechnie w obrocie gospodarczym. Kreują podstawę prawną dla przetwarzających do przetwarzania danych osobowych. Pomimo swej istotności regulacja prawna dotycząca umowy powierzenia przetwarzania danych osobowych jest niepełna; poza tym w pewnym zakresie pozostaje niezgodna z prawem wspólnotowym. Ponadto przepisy ustawy o ochronie danych osobowych są niespójne z przepisami szczególnymi. Problematyka ta jest jeszcze bardziej istotna w przypadku przekazywania danych osobowych poza EOG. Status przetwarzającego nie został prawnie zdefiniowany. Ponadto zakres obowiązków i odpowiedzialność przetwarzającego nie zostały w całości prawnie określone.

Analiza charakteru prawnego umowy powierzenia przetwarzania danych osobowych ma istotne znaczenie ze względu na tworzenie w obrocie gospodarczym coraz to nowych struktur współpracy pomiędzy przedsiębiorcami, które przewidują dostęp do danych osobowych przetwarzanych przez jeden z tych podmiotów na podstawie umowy powierzenia przetwarzania danych osobowych. Innym przykładem jest rozwijający się wśród przedsiębiorców trend do poszukiwania podmiotów, zlokalizowanych w miejscach, w których koszty produkcji czy świadczenia usług będą niższe (tzw. offshoring), przede wszystkim poza Europejskim Obszarem Gospodarczym. Nierzadko dane osobowe przekazywane są do spółek dominujących wobec polskich przedsiębiorców. W tym zakresie wyjaśnienia wymaga również przetwarzanie danych osobowych w tzw. zbiorach centralnych.

Celem publikacji jest analiza i omówienie zagadnień związanych z zawieraniem, wykonywaniem i rozwiązywaniem umów powierzenia przetwarzania danych osobowych, z uwzględnieniem umów zawieranych w obrocie międzynarodowym. Publikacja ta uzupełniona została o przykłady z różnych dziedzin działalności gospodarczej, z uwzględnieniem specyfiki prowadzonej w tych obszarach działalności, w tym działalności telekomunikacyjnej, ubezpieczeniowej, bankowej i działalności prowadzonej w sektorze ochrony zdrowia. Ponadto publikacja ta uwzględniać będzie orzecznictwo sądów, stanowisko organów regulacyjnych (w tym np. Generalnego Inspektora, Prezesa UKE), jak również poglądy doktryny.

Celem tej publikacji jest zaznajomienie Czytelnika z zagadnieniami dotyczącymi powierzenia przetwarzania danych osobowych. Zagadnienia te przedstawiane są z uwzględnieniem przykładów. Ponadto autor zamieszcza praktyczne wskazówki, sugestie i rekomendacje w zakresie rozwiązań związanych z poprawnością powierzenia i przetwarzania danych osobowych.

Tytuł publikacji „Outsourcing danych osobowych w działalności przedsiębiorstw” jest niepełny, gdyż powinien odnosić outsourcing do przetwarzania danych osobowych. Takie jest też rozumienie outsourcingu przetwarzania danych osobowych przez autora.

Mam nadzieję, że publikacja ta będzie pomocna przy podejmowaniu decyzji o tym: czy? komu? i na jakich warunkach powierzyć przetwarzania danych osobowych? Publikacja ta stanowi uzupełnienie istniejącej na rynku literatury z zakresu danych osobowych i outsourcingu, uwypuklając zagadnienia dotyczące outsourcingu danych osobowych. Mam również nadzieję, że niniejsza publikacja stanie się inspiracją do dalszych analiz w tym obszarze prawa.

grudzień 2009 r.

Andrzej Krasuski