Aktualny

Z IOD spoza firmy należy zawrzeć umowę powierzenia

Marcin Sarna

Autor: Marcin Sarna

Dodano: 18 lipca 2018
upoważnienie
Pytanie:  Czy inspektor ochrony danych, który wykonuje swoje obowiązki na podstawie umowy zlecenia, musi zawrzeć z z administratorem danych osobowych umowę powierzenia przetwarzania danych? IOD ma dostęp do danych przetwarzanych w firmie.
Odpowiedź: 

Tak, ponieważ inspektora ochrony danych należy traktować jako podmiot przetwarzający dane w imieniu administratora.

Powierzenie przetwarzania danych – jaki ma sens?

W pierwszej kolejności należy ustalić podział ról w systemie ochrony danych osobowych – kim jest administrator danych osobowych, a kim jest osoba upoważniona do przetwarzania danych osobowych. Otóż zgodnie z art. 4 pkt 7 RODO administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. W opisanym przypadku administratorem danych będzie więc podmiot, który zbiera dane osobowe i decyduje o celach i środkach przetwarzania tych danych.

Kiedy w ogóle dochodzi do przetwarzania danych osobowych? Przetwarzaniem są jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych (art. 4 pkt 2 RODO). Tak szeroka definicja przetwarzania danych oznacza w praktyce, że administrator danych zawsze musi udostępnić dane osobowe poprzez zawarcie umowy powierzenia przetwarzania danych osobowych albo też upoważnić do przetwarzania danych osobowych konkretne osoby pozostające w strukturach tego administratora danych osobowych.

Wybór pomiędzy powierzeniem przetwarzania danych osobowych a upoważnieniem do ich przetwarzania sprowadza się do tego, czy administrator danych osobowych chce umożliwić ich przetwarzanie:

  • przez inny podmiot prawa – wówczas konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych,
  • wewnątrz swojej struktury przez określone osoby (pracowników) – wówczas konieczne jest udzielenie imiennie tym osobom upoważnienia do przetwarzania danych osobowych.

Powierzenie przetwarzania danych osobowych ma więc na celu uprawnienie innego podmiotu do przetwarzania danych osobowych znajdujących się w posiadaniu danego administratora danych osobowych. Powierzenie przetwarzania danych osobowych pozwala w stosunkowo prosty sposób uprawnić do przetwarzania danych osobowych podmioty, które normalnie nie mogłyby tego robić.

IOD przetwarza powierzone dane

Należy więc mieć świadomość tego, że zawarcie takiej umowy jest niezbędne zawsze gdy ma dojść do przekazania innemu podmiotowi danych osobowych innych osób. Z taką właśnie sytuacją mamy do czynienia w przypadku przetwarzania danych osobowych przez zewnętrznego inspektora ochrony danych (tj. zatrudnionego na podstawie wskazanego umowy zlecenia). Nie ma tu żadnego wyjątku przewidzianego w RODO – skoro odrębny podmiot mający zamiar świadczyć usługi IOD będzie miał dostęp do danych osobowych to musi mieć ku temu podstawę prawną, którą będzie stanowiła umowa powierzenia przetwarzania danych osobowych.

Umowa o powierzeniu przetwarzania danych osobowych powinna być zawarta w formie pisemnej. W treści umowy zawsze trzeba wskazać zakres oraz cel powierzenia przetwarzania. Warto pamiętać, że administrator danych osobowych może powierzyć przetwarzanie danych osobowych podmiotowi trzeciemu bez zgody osoby, której dane są powierzane (art. 28 RODO).

Uwaga

Jeżeli nie zawarto umowy powierzenia przetwarzania z IOD a mimo to doszło do przekazania danych osobowych to administrator danych może się narazić na zarzut przekazania danych osobie nieuprawnionej i wynikającą z tego faktu odpowiedzialność.

Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x