Popularność outsourcingu w Polsce stale rośnie, a wiele zlecanych na zewnątrz procesów wiąże się z przetwarzaniem danych osobowych. Co oznacza to dla zwykłego konsumenta? Co dzieje się z naszymi danymi, które powierzamy operatorowi telekomunikacyjnemu, organizatorowi konkursu lub jakiejkolwiek innej firmie? Czy, przetwarzane przez szereg kolejnych podmiotów, na pewno są bezpieczne?
Niemal każdemu zdarzyło się odebrać telefon od firmy, której nigdy nie udostępniał swojego numeru ani danych osobowych. Bardzo często są to zewnętrzne biura obsługi klienta współpracujące z naszym operatorem telekomunikacyjnym, dostawcą energii czy innym usługodawcą. Czy podmioty, którym powierzamy nasze dane mają prawo przekazywać je dalej swoim podwykonawcom? Tak, jednak jest to proces ściśle regulowany prawnie.
Zgodnie z ustawą o ochronie danych osobowych administrator danych (czyli przykładowy operator telefonii komórkowej) może powierzyć ich przetwarzanie innemu podmiotowi (np. firmie call contact center) w drodze umowy zawartej na piśmie. Operator informuje o tym fakcie, jednak nie każdą osobę indywidualnie. Robi to za pośrednictwem Rejestru prowadzonego przez GIODO lub na swojej stronie internetowej za pośrednictwem Rejestru zbiorów danych prowadzonego przez ABI (Administratora Bezpieczeństwa Informacji). Warto podkreślić, że firmy outsourcingowe same nie decydują o tym, co zrobić z naszymi danymi osobowymi, a mogą je przetwarzać jedynie w celu i zakresie określonym przez podmiot, który pobrał od nas dane – mówi Konrad Gałaj-Emiliańczyk, ekspert z firmy ODO24 – Co więcej to ten ostatni podmiot odpowiada za ewentualne naruszenie naszego prawa do prywatności.
Z tego względu niezwykle ważny jest odpowiedni dobór partnera outsourcingowego. Jak podkreśla Wiktor Doktór, prezes Fundacji Pro Progressio, niekompetencja firmy zewnętrznej w zakresie ochrony danych osobowych może być źródłem ogromnego kryzysu wizerunkowego, a także problemów prawnych. Outsourcerom powierzane są wielokrotnie wrażliwe dane nie tylko dotyczące samych przedsiębiorstw, ale i końcowych klientów, czyli osób fizycznych. Warto, rozpoczynając współpracę z firmą outsourcingową, zwrócić uwagę na to, w jaki sposób dane osobowe są przechowywane i zarządzane – każdy rzetelny outsourcer udzieli nam takiej informacji – mówi prezes Fundacji Pro Progressio.
Każda firma outsourcingowa musi spełniać warunku bezpieczeństwa technicznego na poziomie określonym w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji jako „wysoki”. Dodatkowo respektowane są indywidualne wymagania firm – klientów, które zlecają przetwarzanie danych. Na przykład większość instytucji finansowych przed rozpoczęciem współpracy z firmą zewnętrzną przeprowadza szczegółowe audyty bezpieczeństwa, obejmujące zarówno pomieszczenia, w których są przetwarzane dane, całe budynki, a niekiedy również ich otoczenie.
Zabezpieczenia techniczne określają rodzaj stosowanych haseł, systemy dostępu do miejsc przetwarzania danych, monitoring, alarmy, ochronę budynku oraz np. blokowanie dostępu do zewnętrznych dysków USB na stacjach roboczych, które służą przetwarzaniu danych – mówi Marcin Łukasik, Sales Manager z firmy Unicall – Ponadto każdy pracownik przechodzi szkolenia wstępne w trakcie, których dowiaduje się tego, czym są dane osobowe, omawia wymagania stawiane przez Ustawę oraz dowiaduje się o wewnętrznych regulacjach w firmie. Podpisuje również klauzulę poufności oraz upoważnienie do przetwarzania danych osobowych. Wszystkie firmy outsourcingowe, które znam stosują zasadę „czystego biurka”, czyli usuwania dokumentów, które mogą zawierać dane osobowe oraz blokowania ekranów monitorów, jeżeli pracownik kończy pracę, lub nawet odchodzi na chwilę od swojego miejsca pracy.
Należy pamiętać, że niezależnie od stosowanych przez firmy outsourcingowe zabezpieczeń oraz prawnej ochrony procesu przekazywania informacji, zawsze przysługuje nam prawo dostępu do treści naszych danych. W każdej chwili możemy się zwrócić do podmiotu, któremu podaliśmy dane o informacje kto jeszcze wszedł w posiadanie naszych danych osobowych, a podmiot ten musi udzielić nam odpowiedzi w ciągu 30 dni – przypomina Konrad Gałaj-Emiliańczyk z ODO24.
