Działania podwykonawcy, a wizerunek nasz

art_2

Trudno sobie wyobrazić prowadzenie jakiejkolwiek działalności nie korzystając z usług podwykonawców. Coraz częściej zarówno osoby jak i podmioty w ramach prowadzonej działalności przekazują cześć działań poza organizację np. księgowość, kadry i płace, hosting zasobów IT, itp. Jednak bardzo mało osób zastanawia się nad ryzykiem, jakie wiąże się z powierzeniem danych takim podmiotom. Najistotniejszym aspektem jest zabezpieczenie powierzonych informacji przez podmiot zewnętrzny często są to dane osobowe klientów, potencjalnych klientów jak i własnych pracowników. Odpowiedzialność za nadzór nad podwykonawcami spoczywa przede wszystkim na osobie, która z ich usług korzysta.

Trudno sobie wyobrazić prowadzenie jakiejkolwiek działalności nie korzystając z usług podwykonawców. Coraz częściej zarówno osoby jak i podmioty w ramach prowadzonej działalności przekazują cześć działań poza organizację np. księgowość, kadry i płace, hosting zasobów IT, itp. Jednak bardzo mało osób zastanawia się nad ryzykiem, jakie wiąże się z powierzeniem danych takim podmiotom. Najistotniejszym aspektem jest zabezpieczenie powierzonych informacji przez podmiot zewnętrzny często są to dane osobowe klientów, potencjalnych klientów jak i własnych pracowników. Odpowiedzialność za nadzór nad podwykonawcami spoczywa przede wszystkim na osobie, która z ich usług korzysta.

Funkcjonowanie jakiejkolwiek działalności zarobkowej, statutowej lub informacyjnej bez korzystania z usług podmiotów zewnętrznych jest dziś rzadkością. Przykładowo jednoosobowy przedsiębiorca nie będzie w dzisiejszych czasach kupował serwera, a raczej skorzysta z usługi zdalnego hostingu lub Data Center. Analogicznie podmiot w początkowej fazie działalności, raczej nie zatrudni księgowej na pełny etat, a skorzysta z usług firmy zewnętrznej. Podobną tendencję można zaobserwować nawet w dużych podmiotach, które planują ograniczyć koszty prowadzonej działalności. Zamiast utrzymywać kosztowną infrastrukturę informatyczną i zasoby ludzkie w celu optymalizacji kosztów zamienia się je na usługi podmiotów zewnętrznych – zgodnie z zasadą „taniej, szybciej, prościej”.

art_2

Jak pokazuje praktyka dostawcy wyżej wskazanych usług, rzadko zwracają one uwagę na skuteczność stosowanych przez siebie zabezpieczeń w stosunku do powierzonych przez klientów informacji. Wszelkie regulaminy lub umowy ramowe o korzystanie z usług są skonstruowane w taki sposób, by przede wszystkim chronić interesy dostawcy usługi, a nie klienta. Jakie sytuacje powinniśmy przewidzieć korzystając z usług podwykonawcy? Po pierwsze jakie gwarancje prawne zapewnia dostawca usługi, czyli np. czy posiada ubezpieczenie od odpowiedzialności cywilnej z tytułu prowadzonej przez siebie działalności lub zapisy w umowie o świadczenie usług umożliwiają realny nadzór nad powierzonymi przez nas danymi, czyli m.in. prawo do skontrolowania zabezpieczeń wykonawcy. Ważnym element gwarancji prawnych są również kary umowne lub tzw. umowne „prawo regresu”, które może zastosować zleceniodawca w stosunku do podwykonawcy, gdy bezpieczeństwa powierzonych przez niego danych zostanie naruszone. Po drugie zanim skorzystamy z usług podwykonawcy powinniśmy dopytać, czy przestrzega powszechnie obowiązujących przepisów prawa wynikających np. z prawa ochrony danych osobowych, prawa telekomunikacyjnego czy prawa pracy. Jeżeli okaże się że jednak potencjalny dostawca usługi nie przestrzega niektórych przepisów powinniśmy rozważyć ofertę innego dostawcy. Po trzecie cena usługi podwykonawcy mimo, że jest jednym z najistotniejszych czynników przy wyborze konkretnego dostawcy nie powinna być priorytetem, gdyż jak pokazuje praktyka niska cena usługi najczęściej wiąże się z powierzchownym lub całkowitym brakiem zabezpieczeń wobec powierzonych informacji. Poniżej przykład ukształtowania odpowiedzialności zleceniodawcy przy korzystaniu z usług podwykonawcy w zakresie powierzania przetwarzania danych osobowych:

„[…] 4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.[…]”*

Co zrobić gdy już korzystamy z dostawcy jakichś usług i okaże się, że nie przestrzega on powszechnie obowiązujących przepisów prawa lub po prostu nie będzie chciał zabezpieczyć powierzonych danych? W takiej sytuacji często jedynym rozwiązaniem jest zmiana dostawcy usługi na takiego, który przestrzega przepisów prawa, oczywiście sytuacja ta nie musi nastąpić od razu –z biznesowego punktu widzenia poczekanie do czasu wygaśnięcia umowy zawartej na czas określony z dostawcą usługi, nie będzie niczym nagannym. Co może się stać, jeżeli nie zadbamy o bezpieczeństwo informacji powierzonych do dalszego przetwarzania naszym podwykonawcom?

Dostawcy usług w celu ograniczenia kosztów prowadzonej przez siebie działalności bardzo często nie zapewniają kontroli nad tym kto, kiedy i do czego ma dostęp w trakcie wykonywania działań na jego rzecz przez osoby fizyczne. Konsekwencją takiego zaniechania jest brak możliwości ustalenia co się stało. W praktyce może dojść do utraty danych po stronie dostawcy, a on nie będzie w stanie nam powiedzieć co się konkretnie stało – czy zawiniła osoba, czy system informatyczny, a może jedno i drugie. Innymi słowy powinniśmy zwracać uwagę nie tylko na bezpieczeństwo prawne korzystania z usług zewnętrznych dostawców, ale również na faktycznie stosowane przez nich zabezpieczenia. Powinniśmy ponadto dopytać dostawcę, zanim skorzystamy z jego usług, o to jakie zabezpieczenia danych stosuje np. w kategoriach zabezpieczeń fizycznych, czyli dostępu do danych w jego lokalizacji, zabezpieczeń organizacyjnych, czyli jakie procedury postępowania z danymi zostały faktycznie wdrożone w organizacji podwykonawcy i ostatecznie, jakie zabezpieczenia techniczne stosuje, jeżeli usługa ma polegać na przetwarzaniu informacji z wykorzystaniem systemów informatycznych.


*Art. 31 ust. 4 ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych. (Dz. U. 2016 poz. 922 z zm.)

Powiązane case study:

Powierzanie danych – case study