Umowa powierzenia a zewnętrzny Inspektor Ochrony Danych

12/04/2023

★★★★★Rating: 4.61 (2170 votes)

Wielu administratorów danych osobowych, decydując się na skorzystanie z usług zewnętrznego Inspektora Ochrony Danych (IOD), staje przed pytaniem, czy w takim przypadku konieczne jest zawarcie umowy powierzenia przetwarzania danych. Różne interpretacje prawne mogą wprowadzać w zakłopotanie, dlatego warto przyjrzeć się bliżej stanowisku organów nadzorczych i wyjaśnić tę kwestię raz na zawsze.

Czy z pocztą polską trzeba podpisać umowę powierzenia RODO? — W przypadku usług powszechnych zawieranie umowy powierzenia przetwarzania danych jest zbędne, ponieważ jak państwo sami stwierdziliście, jest to działalność ustawowa operatora pocztowego.

Spis treści

Umowa powierzenia przetwarzania danych osobowych – kiedy jest wymagana?
Inspektor Ochrony Danych (IOD) a umowa o świadczenie usług
Dostęp IOD do danych osobowych i poufność
Konflikt interesów i zdolność IOD do obsługi wielu podmiotów
Podsumowanie

Umowa powierzenia przetwarzania danych osobowych – kiedy jest wymagana?

Umowa powierzenia przetwarzania danych osobowych, uregulowana w artykule 28 RODO, jest kluczowym instrumentem prawnym w sytuacjach, gdy administrator danych powierza przetwarzanie danych osobowych innemu podmiotowi, zwanemu podmiotem przetwarzającym. Dzieje się tak, gdy administrator, w celu realizacji swoich celów biznesowych, korzysta z usług zewnętrznych firm, które w ramach tych usług przetwarzają dane osobowe w imieniu i na rzecz administratora.

Przykłady usług, które zazwyczaj wiążą się z koniecznością zawarcia umowy powierzenia, obejmują:

Przechowywanie danych klienta (np. usługi chmurowe, hosting). W tym przypadku podmiot zewnętrzny udostępnia przestrzeń dyskową, ale administrator zachowuje kontrolę nad danymi i decyduje o ich zawartości.
Dostarczanie infrastruktury informatycznej. Udostępnianie mocy obliczeniowej, serwerów, czy platform programistycznych, gdzie administrator przetwarza dane.
Usługi administracyjne i konserwacyjne IT. Konfiguracja, zabezpieczanie i utrzymanie systemów informatycznych administratora, które przetwarzają dane osobowe.
Usługi programistyczne. Tworzenie i aktualizacja oprogramowania wykorzystywanego do przetwarzania danych osobowych.
Usługi księgowe i kadrowe. Prowadzenie dokumentacji, list płac, obsługi kadr, gdzie przetwarzane są dane osobowe pracowników i kontrahentów.
Archiwizacja dokumentów, skanowanie i digitalizacja danych, niszczenie nośników informacji. Usługi związane z fizycznym i elektronicznym przetwarzaniem dokumentacji zawierającej dane osobowe.

W każdym z tych przypadków, podmiot zewnętrzny działa na zlecenie administratora, wykonując operacje przetwarzania danych zgodnie z jego instrukcjami i w określonym przez niego celu. Kluczowym elementem umowy powierzenia jest ścisłe określenie zakresu, celu i sposobu przetwarzania danych, a także nałożenie na podmiot przetwarzający obowiązków w zakresie bezpieczeństwa i poufności danych.

Inspektor Ochrony Danych (IOD) a umowa o świadczenie usług

W przypadku zewnętrznego Inspektora Ochrony Danych sytuacja jest inna. Artykuł 37 ust. 6 RODO wprost dopuszcza możliwość wykonywania zadań IOD na podstawie umowy o świadczenie usług, co oznacza, że nie musi to być pracownik administratora. Ta forma współpracy, outsourcing funkcji IOD, jest powszechnie stosowana i akceptowana przez organy nadzorcze.

Istotą różnicy jest charakter zadań wykonywanych przez IOD. Zadania IOD, wymienione w artykule 39 ust. 1 RODO, obejmują przede wszystkim:

Monitorowanie zgodności przetwarzania danych z RODO i innymi przepisami o ochronie danych.
Doradzanie administratorowi i podmiotowi przetwarzającemu w kwestiach ochrony danych.
Współpracę z organem nadzorczym (w Polsce – Urząd Ochrony Danych Osobowych – UODO).
Pełnienie funkcji punktu kontaktowego dla organu nadzorczego oraz dla osób, których dane dotyczą.

IOD nie przetwarza danych osobowych w imieniu i na rzecz administratora w taki sposób, jak podmiot przetwarzający w ramach umowy powierzenia. Jego rola jest doradcza, monitorująca i nadzorcza. IOD działa niezależnie i nie otrzymuje instrukcji dotyczących sposobu wykonywania swoich zadań (art. 38 ust. 4 RODO). Administrator i podmiot przetwarzający mają obowiązek wspierać IOD w wykonywaniu jego zadań, zapewniając mu dostęp do danych osobowych i operacji przetwarzania (art. 38 ust. 2 RODO), ale ten dostęp wynika z przepisów prawa, a nie z umowy powierzenia.

Zatem, zawierając umowę z zewnętrznym IOD, właściwą formą jest umowa o świadczenie usług, a nie umowa powierzenia przetwarzania danych osobowych. Umowa o świadczenie usług powinna precyzyjnie określać zadania IOD, zakres współpracy, zasady wynagrodzenia, poufność oraz inne istotne aspekty współpracy, ale nie powinna zawierać klauzul dotyczących powierzenia przetwarzania danych.

Dostęp IOD do danych osobowych i poufność

Dostęp zewnętrznego IOD do danych osobowych jest niezbędny do skutecznego wykonywania jego zadań. Jak wspomniano, art. 38 ust. 2 RODO zobowiązuje administratora do zapewnienia IOD dostępu do danych osobowych i operacji przetwarzania. Jednocześnie, art. 38 ust. 5 RODO nakłada na IOD obowiązek zachowania tajemnicy lub poufności w związku z wykonywaniem swoich zadań. Ta poufność jest kluczowa dla zaufania i skutecznej współpracy między IOD a administratorem danych.

Konflikt interesów i zdolność IOD do obsługi wielu podmiotów

W kontekście zewnętrznego IOD, istotne jest również unikanie konfliktu interesów. Artykuł 38 ust. 6 RODO zakazuje wykonywania przez IOD zadań, które mogłyby prowadzić do konfliktu interesów. Administrator powinien upewnić się, że zewnętrzny IOD, z którym zawiera umowę, jest niezależny i nie jest zaangażowany w działalność, która mogłaby podważyć jego obiektywizm i zdolność do rzetelnego wykonywania zadań IOD.

Ponadto, warto zwrócić uwagę na wytyczne Grupy Roboczej Art. 29, które podkreślają, że w przypadku zewnętrznego IOD, administrator musi mieć pewność, że IOD, ewentualnie z zespołem, będzie w stanie skutecznie wypełniać swoje obowiązki, nawet jeśli jest wyznaczony dla kilku podmiotów. Efektywna dostępność IOD i jego stałe zaangażowanie na rzecz administratora są kluczowe dla zapewnienia wysokiego poziomu ochrony danych osobowych.

Podsumowanie

Podsumowując, w przypadku zawierania umowy z zewnętrznym Inspektorem Ochrony Danych, nie należy stosować konstrukcji umowy powierzenia przetwarzania danych osobowych. Właściwą formą prawną jest umowa o świadczenie usług, która reguluje zakres zadań IOD, zasady współpracy i inne istotne aspekty. IOD działa niezależnie, a jego dostęp do danych osobowych wynika z przepisów prawa, a nie z umowy powierzenia. Kluczowe jest zapewnienie IOD niezależności, braku konfliktu interesów oraz efektywnej zdolności do wykonywania swoich zadań, co przyczyni się do skutecznej ochrony danych osobowych w organizacji.

Jeśli chcesz poznać inne artykuły podobne do Umowa powierzenia a zewnętrzny Inspektor Ochrony Danych, możesz odwiedzić kategorię Rachunkowość.