Czym jest przetwarzanie danych na zlecenie?

Przetwarzanie danych na podstawie umowy (CDP) odnosi się do przetwarzania danych osobowych przez zewnętrznego usługodawcę w imieniu firmy. Od czasu wejścia w życie RODO zwykle używa się terminu przetwarzanie zamówienia (ODP). Podstawę prawną można znaleźć w Art. 28 RODO.

Konkretnie oznacza to, że firma, która gromadzi dane od klientów, pracowników lub dostawców, może zlecić ich przetwarzanie wyspecjalizowanemu usługodawcy. Taki podmiot przetwarzający nie może jednak wykorzystywać danych do własnych celów, ale wyłącznie zgodnie ze specyfikacjami firmy, która jest uważana za administratora danych. Zapewnia to ochronę danych osobowych, nawet jeśli nie są one przetwarzane bezpośrednio w samej firmie.

Przetwarzanie danych zamówień w kontekście ERP

Im Zusammenhang mit ERP-Systemen (Enterprise Resource Planning) spielt die Auftragsverarbeitung eine besonders wichtige Rolle. Immer dann, wenn ein ERP-System nicht lokal auf den Servern des Unternehmens installiert ist, sondern als Cloud- oder SaaS-Lösung genutzt wird, verarbeitet der ERP-Anbieter oder ein externer IT-Dienstleister personenbezogene Daten im Auftrag des Unternehmens, wie zum Beispiel:

  • Dane klientów i informacje o dostawcach w zarządzaniu towarami
  • Dane pracowników w modułach księgowych HR lub płacowych
  • Dane finansowe i księgowe w rachunkowości
  • Dane projektu z osobistymi referencjami w modułach zarządzania projektami

Ponieważ wszystkie te dane mają często krytyczne znaczenie biznesowe i są wrażliwe, konieczne jest zawarcie umowy o przetwarzaniu danych. (AVV) musi zostać zawarta. Reguluje ona warunki, na jakich dostawca ERP lub dostawca usług IT przetwarza dane w imieniu firmy.

Przykład MŚP: Średniej wielkości firma produkcyjna decyduje się na ERP w chmurze. Dane klientów, listy części i informacje o dostawcach nie są już przechowywane lokalnie, ale są przetwarzane na serwerach dostawcy ERP. W takim przypadku spółka musi zawrzeć z dostawcą umowę DPA, która dokładnie reguluje sposób przetwarzania danych klientów i stosowane środki bezpieczeństwa.

Przykład grupy: Międzynarodowa grupa korzysta z systemu ERP, który jest wykorzystywany w różnych lokalizacjach na całym świecie. Oprócz scentralizowanego przetwarzania danych w zakresie rachunkowości finansowej, dotyczy to również danych kadrowych z kilku krajów. Nie tylko DPA z dostawcą ERP odgrywa tutaj rolę, ale także integracja i audyt licznych podwykonawców i centrów danych.

Obowiązki klienta

Nawet jeśli faktyczne przetwarzanie jest przeprowadzane przez usługodawcę, sama firma pozostaje odpowiedzialna za zgodność z przepisami o ochronie danych. RODO wyraźnie przypisuje główną odpowiedzialność klientowi. Typowe obowiązki to:

  • Staranny wybór dostawcy ERP lub dostawcy usług IT: Przed zawarciem umowy należy sprawdzić, czy dostawca wdraża środki techniczne i organizacyjne wymagane do ochrony danych.
  • Zawarcie umowy DPA: Bez tej umowy przetwarzanie danych nie jest prawnie dozwolone. DPA stanowi podstawę każdej formy zleconego przetwarzania danych.
  • Obowiązki w zakresie monitorowania i dokumentacji: Firma musi regularnie sprawdzać, czy dostawca przestrzega uzgodnionych środków i dokumentować to. Audyty i dowody są tutaj standardem.
  • Sprawdzanie podwykonawców: Wielu dostawców ERP współpracuje z dostawcami hostingu lub chmury. Oni również muszą być rejestrowani i sprawdzani zgodnie z umową.

Przykład: Spółka korzysta z ERP w chmurze, który jest obsługiwany na serwerach dużego hiperskalera (np. AWS lub Azure). Firma musi nie tylko zawrzeć umowę DPA z dostawcą ERP, ale także upewnić się, że dostawca odpowiednio zintegrował swoich podwykonawców.

Umowa o realizację zamówienia (AVV)

RODO to centralny dokument regulujący współpracę pomiędzy klientem a podmiotem przetwarzającym dane. Wiążąco określa, które dane mogą być przetwarzane, w jaki sposób, w jakim celu i zgodnie z jakimi standardami bezpieczeństwa. DPA musi zawierać między innymi następujące punkty:

  • Cel i czas trwania przetwarzania: Jakie dane są przetwarzane i jak długo?
  • Rodzaj i cel przetwarzania: Na przykład księgowość płacowa, CRM lub księgowość finansowa.
  • Kategorie osób, których dane dotyczą: Klienci, pracownicy, dostawcy lub partnerzy biznesowi.
  • Prawa i obowiązki administratora danych: Jakie uprawnienia kontrolne posiada firma, jak zorganizowana jest współpraca?
  • Środki techniczne i organizacyjne (TOM): Jakie środki bezpieczeństwa wdraża dostawca (np. szyfrowanie, kontrola dostępu)?
  • Przepisy dotyczące podwykonawców przetwarzania: Czy dostawca ERP może korzystać z usług innych dostawców, a jeśli tak, to na jakich warunkach?

Podczas gdy pisemna umowa była obowiązkowa na mocy starej federalnej ustawy o ochronie danych (BDSG), RODO obecnie dopuszcza również formę cyfrową, na przykład poprzez podpis elektroniczny.

Zmiany wynikające z RODO

RODO wprowadziło kilka istotnych innowacji w porównaniu do starej BDSG:

Wspólna odpowiedzialność podmiotów przetwarzających dane: W przeciwieństwie do przeszłości, sami dostawcy usług są również odpowiedzialni za zgodność z przepisami o ochronie danych. Mogą oni zostać pociągnięci do odpowiedzialności w przypadku naruszeń.

Wspólna kontrola: Jeśli kilka stron wspólnie decyduje o celu i środkach przetwarzania danych, jest to określane jako wspólna odpowiedzialność. W takim przypadku wszystkie zaangażowane strony są osobami kontaktowymi dla osób, których dane dotyczą.

Obowiązek przestrzegania instrukcji pozostaje w mocy: Nawet zgodnie z RODO usługodawca może przetwarzać dane wyłącznie zgodnie z instrukcjami firmy. Jeśli podejmie nieuprawnione decyzje, sam stanie się administratorem danych – ze wszystkimi konsekwencjami prawnymi.

Przykład dla kontekstu ERP: Wspólne korzystanie z ERP w chmurze przez spółkę dominującą i jej spółkę zależną. Obie strony wspólnie określają, które dane są przetwarzane, jakie istnieją prawa dostępu i do jakich celów odbywa się przetwarzanie. W takich przypadkach jest to określane jako wspólna kontrola, a jasne ustalenia umowne mają kluczowe znaczenie dla jasnego zdefiniowania obowiązków.

Nota prawna:

Bezpłatna i swobodnie dostępna zawartość tej strony internetowej została stworzona z największą możliwą starannością. Wyraźnie zaznaczamy jednak, że nie ponosimy żadnej gwarancji ani innej odpowiedzialności za dokładność, aktualność lub kompletność przewodników dziennikarskich i informacji zamieszczonych na tej stronie.

Treści zawarte na tej stronie internetowej nie stanowią porady prawnej dla firmy, na której można polegać w zakresie zgodności z przepisami prawa dotyczącymi ochrony danych – w szczególności RODO – ani nie mogą zastąpić indywidualnej porady prawnej.

Ponadto, uzyskując dostęp do tych bezpłatnych i swobodnie dostępnych treści, nie zostaje nawiązany żaden stosunek umowny między nami a użytkownikiem strony internetowej w przypadku braku odpowiedniego prawnie wiążącego zamiaru z naszej strony.

Często zadawane pytania dotyczące przetwarzania danych zamówień (ADV):

Czym jest przetwarzanie danych zamówienia (ADV)?

Przetwarzanie danych osobowych przez zewnętrznego usługodawcę w imieniu firmy. RODO zwykle używa terminu ”przetwarzanie zamówienia”.

Kiedy umowa DPA z dostawcą ERP jest konieczna?

Za każdym razem, gdy dane osobowe są przetwarzane przez dostawcę ERP lub jego podwykonawców, na przykład w przypadku rozwiązań ERP w chmurze lub SaaS.

Kto jest kontrolerem, a kto procesorem?

Firma korzystająca z systemu ERP jest administratorem danych. Dostawca ERP lub nadzorujący dostawca usług IT jest podmiotem przetwarzającym.

Jakie dane są zazwyczaj generowane podczas przetwarzania zamówień w systemie ERP?

Dane klientów, dane pracowników, informacje o dostawcach, dane finansowe i księgowe lub dane projektu.

Co się stanie bez AVV?

Bez ważnego DPA przetwarzanie danych jest nielegalne. Firmy ryzykują nie tylko wysokimi grzywnami, ale także utratą zaufania klientów i partnerów biznesowych.