Aktualny

Czy konieczna umowa powierzenia z IOD – analizujemy stanowisko UODO

Marcin Sarna

Autor: Marcin Sarna

Dodano: 28 września 2021
Czy konieczna umowa powierzenia z IOD – analizujemy stanowisko UODO

Na stronie internetowej UODO ukazał się komentarz do pytania, czy z IOD należy zawrzeć umowę powierzenia przetwarzania danych. Czy stanowisko organu nadzorczego rozwiewa istniejące w tym zakresie wątpliwości?

UODO nie rozwiązuje problemu

Przede wszystkim UODO nie stwierdził wyraźnie czy potrzebna jest odrębna umowa powierzenia czy też nie. Organ poprzestał na stwierdzeniu, że „wykonywanie zadań IOD przez osobę, która nie jest członkiem personelu administratora powinno następować na podstawie umowy o świadczenie usług niebędącej umową powierzenia danych”. Trudno się z tym nie zgodzić.

Sama umowa o świadczenie usług nie wystarczy

Niemniej jednak poza umową o świadczenie usług IOD, niebędącej umową o powierzenia przetwarzania danych, zachodzi konieczność zawarcia umowy o przetwarzanie danych osobowych.

Uwaga

Umowa o przetwarzanie może być odrębną umową lub stanowić załącznik do umowy o świadczenie usług IOD.

Podobne zdanie wydaje się przeważać wśród ekspertów danych osobowych.

Dlaczego powierzenie a nie udostępnienie

Wybór pomiędzy powierzeniem przetwarzania danych osobowych a upoważnieniem do ich przetwarzania sprowadza się do tego, czy administrator danych osobowych chce umożliwić ich przetwarzanie:

  • przez inny podmiot prawa – wówczas konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych;

  • wewnątrz swojej struktury przez określone osoby (pracowników) – wówczas konieczne jest udzielenie imiennie tym osobom upoważnienia do przetwarzania danych osobowych.

Powierzenie przetwarzania danych osobowych to więc sposób na uprawnienie innego podmiotu do przetwarzania danych osobowych znajdujących się w posiadaniu danego administratora danych. Zawarcie takiej umowy jest niezbędne zawsze gdy ma dojść do przekazania innemu podmiotowi danych osobowych innych osób. Z taką właśnie sytuacją mamy do czynienia w przypadku przetwarzania danych osobowych przez zewnętrznego inspektora ochrony danych.

Uwaga

Nie ma tu żadnego wyjątku przewidzianego w RODO – skoro odrębny podmiot mający zamiar świadczyć usługi IOD będzie miał dostęp do danych osobowych to musi mieć ku temu podstawę prawną, którą będzie stanowiła umowa powierzenia przetwarzania danych osobowych.

Jeżeli nie zawarto umowy powierzenia przetwarzania z IOD a mimo to doszło do przekazania danych osobowych to administrator danych może się narazić na zarzut przekazania danych osobie nieuprawnionej i wynikającą z tego faktu odpowiedzialność.

Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x