Polskie prawo szczegółowo reguluje zasady przetwarzania danych osobowych, nie wprowadza jednak przepisów, które by bezpośrednio i zupełnie regulowały kwestię, jak prawidłowo serwisować elementy systemu IT, czyli sprzęt i oprogramowanie, za pomocą którego przetwarzane są dane osobowe. Przepisy prawa wprowadzają wymóg określenia procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych w instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych. Jednakże szczegółowe wymogi dla takiej procedury możemy znaleźć jedynie w ograniczonym zakresie. Wprowadzono zasadę, zgodnie z którą urządzenia, dyski lub inne elektroniczne nośniki informacji zawierające dane osobowe, przeznaczone do naprawy, pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie, co w praktyce jest często problemem dla administratora, albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych. Nie znajdujemy jednak szczegółowych regulacji prawnych w zakresie konserwacji oprogramowania stanowiącego element systemu IT służącego do przetwarzania danych.

Zgodnie z zaleceniami GIODO wspomniana powyżej instrukcja zarządzania systemem IT powinna wskazywać podmioty i osoby uprawnione do dokonywania przeglądów i konserwacji systemu IT, a procedura wykonywania czynności konserwacyjnych systemu, w przypadku gdy administrator danych zleca te czynności osobom nieposiadającym upoważnień do przetwarzania danych, powinna określać sposób, w jaki administrator czynności te nadzoruje. Jednocześnie GIODO podtrzymuje ogólną zasadę, że podmiot zewnętrzny, który przetwarza dane osobowe na zlecenie administratora, powinien działać na podstawie wymaganej prawem pisemnej umowy.

Administrator danych musi ponadto stosować się do ogólnych zasad przetwarzania danych osobowych, w tym w szczególności do zapewnienia ochrony danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Obowiązek zabezpieczenia danych ma pełne zastosowanie przy udostępnianiu osobom trzecim (serwisantom) sprzętu czy oprogramowania. Ustawa wprowadza wyraźny obowiązek zapewnienia przez administratora danych, aby dostęp do danych osobowych miały wyłącznie osoby przez niego upoważnione, np. pracownicy. Jednocześnie dostęp do danych osobowych może uzyskać podmiot zewnętrzny, któremu administrator powierzył przetwarzanie danych na mocy umowy.

Kluczową kwestią jest ustalenie, czy serwisant sprzętu lub oprogramowania przetwarza dane osobowe, czy też jego działania naprawcze są oderwane od operacji na danych osobowych.

Ustawa wprowadza bardzo szeroką definicję przetwarzania danych, rozumiejąc pod tym pojęciem jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Wydaje się zatem usprawiedliwione uznanie, że także podmiot podejmujący czynności związane z naprawą sprzętu lub oprogramowania służącego do przetwarzania danych osobowych, jeżeli posiada dostęp do danych, przetwarza je w zakresie i w celu koniecznym do dokonania żądanej naprawy.

Można zatem wnioskować, że jeżeli naprawa sprzętu lub oprogramowania nie będzie wiązała się z dostępem do danych osobowych, nie ma potrzeby ani udzielenia serwisantowi stosownego upoważnienia do przetwarzania danych, ani zawierania z serwisantem zewnętrznym umowy – takie rozwiązania będą bezprzedmiotowe wobec braku operacji na danych. Administrator powinien ewentualnie wyznaczyć osobę sprawującą nadzór nad pracami serwisanta. Jeżeli jednak istnieje ryzyko, że działania serwisanta będą mogły zostać zakwalifikowane jako przetwarzanie danych, zasadne będzie udzielenie stosownego upoważnienia lub zawarcie umowy. Taka sytuacja może mieć miejsce np. przy umowach na stałą obsługę serwisową systemu IT, których wykonanie często związane jest ze stałym dostępem pracowników serwisanta do zbiorów danych osobowych zawartych w systemie i gdzie niektóre czynności naprawcze mogą wiązać się bezpośrednio z operacjami na danych.

Zatem w sytuacji, gdy naprawy sprzętu lub oprogramowania będzie dokonywał pracownik administratora danych, wystarczy, że będzie on posiadał odpowiednie upoważnienie od administratora do przetwarzania danych zapisanych w naprawianych nośnikach lub programach.

Jeżeli jednak administrator danych zamierza skorzystać z usług zewnętrznego serwisanta, to powraca pytanie, czy konieczne będzie zawarcie z nim umowy o powierzenie przetwarzania danych osobowych, czy też wystarczy, że taki serwisant będzie dokonywał napraw pod nadzorem osoby wyznaczonej przez administratora danych.

Z bezpośredniego brzmienia przepisów ustawy wynika, że administrator może powierzyć innemu podmiotowi przetwarzanie danych osobowych na podstawie umowy zawartej na piśmie, a podmiot ten (zwany często przetwarzającym na zlecenie) może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. Jednocześnie taka umowa niesie za sobą pewne konsekwencje dla przetwarzającego na zlecenie, który z mocy ustawy jest zobowiązany przed rozpoczęciem przetwarzania danych spełnić określone wymogi prawne, w tym w szczególności w zakresie odpowiedniego zabezpieczenia zbioru danych. W tym zakresie odpowiada jak administrator danych.

W praktyce zdarza się, że firmy serwisujące unikają zawierania umów o powierzenie przetwarzania danych, by uniknąć obowiązków nakładanych na podmioty przetwarzające dane na zlecenie administratora. Warto pamiętać, że pomimo powierzenia przetwarzania danych podmiotowi zewnętrznemu administrator danych nadal ponosi pełną odpowiedzialność za przestrzeganie przepisów ustawy. Dlatego też tak ważne dla administratora jest zawarcie w umowie o powierzeniu przetwarzania danych stosownych postanowień w zakresie odpowiedzialności kontraktowej przetwarzającego na zlecenie.

Czy zatem powyższe zasady powierzania przetwarzania danych osobowych mają w pełni zastosowanie do podmiotów serwisujących sprzęt i oprogramowanie służące do przetwarzania danych?

Z punktu widzenia interesów administratora danych osobowych wydaje się uzasadniona szczególna troska o pełną kontrolę i szczegółowe uregulowanie zasad dostępu osób trzecich do danych osobowych, także w zakresie serwisu sprzętu lub oprogramowania służących do przetwarzania danych. W tym celu uznanie zewnętrznych serwisantów za podmioty przetwarzające dane osobowe na zlecenie administratora, w zakresie i celu niezbędnym do dokonania żądanej naprawy, jest rozwiązaniem prawidłowym. Podobnie jak udzielanie serwisantom wewnętrznym (pracownikom administratora) stosownych upoważnień do przetwarzania danych. Oczywiście treść umowy będzie uwzględniała specyfikę przetwarzania danych, które jest wówczas niejako czynnością poboczną wobec podstawowej aktywności zmierzającej do naprawy elementów systemu IT. W umowie serwisowej należy zatem zawrzeć odpowiednie postanowienia wymagane prawem dla umów o powierzenie przetwarzania danych osobowych, a także, a może przede wszystkim, zasady odpowiedzialności serwisanta za naruszenie ustalonych zasad ochrony danych osobowych, do których uzyskuje on dostęp w ramach realizacji usług serwisowych.

Poradę dla Czytelników Dziennika Internautów opracowała Katarzyna Michno, radca prawny, Chałas i Wspólnicy Kancelaria Prawna, Oddział w Krakowie.