Zlecenie przetwarzania danych osobowych innemu podmiotowi

Często w związku z zawieranymi umowami na świadczenie usług, kontrahent uzyskuje dostęp do danych osobowych przetwarzanych w organizacji.  Oprócz wskazania podstawowych warunków współpracy należy unormować zlecenie przetwarzania danych osobowych. Zarówno obecnie obowiązująca ustawa o ochronie danych osobowych, jak i Ogólne Rozporządzenie o ochronie danych osobowych (RODO) wymaga, zlecenie przetwarzania danych osobowych innemu podmiotowi było szczegółowo uregulowana.

Administrator danych to?

Przypomnimy, że firmy i organizacje, które zbierają i wykorzystują dane osobowe są administratorami danych osobowych. Administrator danych osobowych na gruncie RODO (i ustawy o ochronie danych osobowych) musi zapewnić ich bezpieczeństwo, a także musi właściwie informować osoby, których dane przetwarza o celach zbierania danych osobowych. Tu można przeczytać więcej o obowiązkach administratora danych osobowych.

Zlecenie przetwarzania danych osobowych

Administrator danych osobowych może zlecić innemu podmiotowi przetwarzanie danych osobowych, jeżeli jest to niezbędne do świadczenia usług na rzecz administratora. Zlecenie przetwarzania danych osobowych musi przybrać formę umowy. Ponadto, jak stanowi RODO w art. 28 zlecenie przetwarzania danych osobowych innemu podmiotowi (podmiotowi przetwarzającemu) może nastąpić, jeżeli zapewnione zostaną środki ochrony danych osobowych przez ten podmiot.

Wymogi umowy zlecenia przetwarzania danych osobowych

Wymogi umowy zlecenia przetwarzania danych osobowych określa art. 28 RODO. Strony umowy zlecenia przetwarzania danych osobowych muszą określić:

  1. Czas trwania zlecenia – może to być czas określony (np. jeden rok) lub nieokreślony. Czas trwania zlecenia najczęściej będzie skorelowany z umową o współpracy zawartą przez administratora i podmiot przetwarzający.
  2. Rodzaj danych, które obejmuje zlecenie – oznacza to, że umowa powinna rozstrzygać jakie dane osobowe zostają objęte umową, np. imiona i nazwiska oraz numery telefonów.
  3. Kategorie osób, których dane objęte są zleceniem – mogą to być dane osobowe pracowników czy klientów firmy,
  4. Cel przetwarzania – cel przetwarzania najczęściej wynika z charakteru współpracy, jaka wiąże strony, np. usługi informatyczne.
  5. Obowiązki i prawa administratora – można określić, że administrator będzie mógł kontrolować sposób przetwarzania danych osobowych przez zleceniobiorcę.
  6. Zobowiązanie sie zleceniobiorcy do zachowania w tajemnicy przetwarzanych danych osobowych.
  7. Obowiązek zwrotu danych osobowych lub ich usunięcia po zakończeniu współpracy.

Umowa zlecenie przetwarzania danych osobowych może być częścią umowy „głównej” łączącej administratora i zleceniobiorcę bądź może być osobnym dokumentem. RODO przewiduje, że taka umowa może być zawarta w formie pisemnej lub elektronicznej.

Poniżej przykłady sytuacji, w których umowne uregulowanie zlecenia przetwarzania danych osobowych będzie niezbędne.

Zawarliśmy umowę z zewnętrzną firmą o przeprowadzenie ankiety satysfakcji klientów – czy obowiązek uregulowania kwestii danych osobowych nas dotyczy?

Tak. W sytuacji gdy firma zewnętrzna ma na zlecenie organizacji przeprowadzić badanie satysfakcji przez klientów organizacji, uzyskuje ona dane osobowe klientów, np. adresy e-mail czy imiona i nazwiska. W takim przypadku niezbędne jest uregulowanie kwestii wykorzystania tych danych osobowych i ich właściwego zabezpieczenia.

Firma informatyczna obsługuje nasze systemy informatyczne i sprzęt komputerowy, a także dokonuje archiwizacji danych. Czy zlecenie przetwarzania danych osobowych jest konieczne?

Tak. Umowa z firmą informatyczną powinna regulować również kwestie dostępu do danych osobowych. Archiwizacja danych czy wgląd do systemów informatycznych to czynności, które łączą się z przetwarzaniem danych osobowych i powinny zostać szczegółowo uregulowane.

Nasza firma mama zewnętrzną obsługę kadrowo-płacową. Czy kwestia danych osobowych powinna być uregulowana w łączącej nas umowie?

Tak. W sytuacji, gdy zewnętrzny podmiot uzyskuje dostęp do danych kadrowych i płacowych, konieczne jest uregulowanie kwestii danych osobowych. Trzeba to zrobić w umowie, która będzie spełniała wymogi art. 28 RODO.

Pozyskujemy klientów z wykorzystaniem agencji reklamowej, która zbiera dane klientów do organizowanych konkursów. Czy powinniśmy w umowie uregulować kwestie danych osobowych?

Tak. Jeżeli do pozyskiwania klientów firma wykorzystuje zewnętrznego kontrahenta, który gromadzi na jej zlecenie dane osobowe, umowa o współpracy powinna regulować przetwarzanie danych osobowych.

Leave a Reply

Twój adres e-mail nie zostanie opublikowany.