Czy z zewnętrznym IOD należy zawrzeć umowę powierzenia?
Z uwagi na liczne różne interpretacje prawne, zwracam się z prośbą o wyjaśnienie na stronie UODO następującej kwestii, czy w przypadku zawierania umowy z zewnętrznym inspektorem ochrony danych należy posłużyć się konstrukcją powierzenia przetwarzania danych określoną w art. 28 RODO?
Wykonywanie zadań IOD przez osobę, która nie jest członkiem personelu administratora powinno następować na podstawie umowy o świadczenie usług niebędącej umową powierzenia danych.
Art. 37 ust. 6 RODO wskazuje wprost, iż inspektor ochrony danych może wykonywać swoje zadania na podstawie umowy o świadczenie usług, czyli nie musi być on pracownikiem administratora. Dopuszczalny jest zatem outsourcing tej funkcji, przy czym przedmiotem umowy z inspektorem nie są zadania administratora, a zadania wskazane w art. 39 ust. 1 RODO.
Umowa o świadczenie usług, której przedmiotem jest wykonywanie zadań IOD nie będzie umową powierzenia przetwarzania. Konieczność zawarcia umowy powierzenia przetwarzania danych osobowych istnieje wówczas, gdy administrator w celu realizacji swoich celów (zadań) związanych z przetwarzaniem danych posługuje się innym, zewnętrznym podmiotem. Innymi słowy powierzenie przetwarzania powinno mieć miejsce w przypadkach, gdy administrator prowadzący działalność w określonej dziedzinie, ma potrzebę skorzystać z pomocy zewnętrznych specjalistów, których usługi będą miały charakter pomocniczy, nierzadko techniczny, wspierający działalność główną administratora. Podmiot przetwarzający jest zobowiązany do stosowania się do instrukcji przekazanych przez administratora co najmniej w odniesieniu do celu przetwarzania oraz istotnych elementów sposobu przetwarzania. Najczęściej występujące przykładowe usługi świadczone w modelu powierzenia wskazujemy w Poradniku Wskazówki i wyjaśnienia dotyczące obowiązku z art. 30 ust. 1 i 2 RODO (dostępne pod linkiem: https://uodo.gov.pl/pl/383/214) jako 1) przechowywanie danych klienta (administratora) rozumiane jako udostępnienie zamawiającemu określonej przestrzeni dyskowej w infrastrukturze przetwarzającego na przechowywanie danych, którymi zlecający (administrator) sam zarządza i decyduje o tym, jakie dane tam przechowuje – np. wykonuje kopie zapasowe danych elektronicznych; 2) udostępnianie klientowi (administratorowi) mocy obliczeniowej procesorów, przestrzeni pamięci operacyjnej i dyskowej lub innych usług na potrzeby instalacji i eksploatacji usług przetwarzania, którymi zamawiający w pełni zarządza – dostarczanie infrastruktury informatycznej; 3) udostępnienie klientowi (administratorowi) określonej platformy programistycznej (np. serwera www wraz z odpowiednim oprogramowaniem do prowadzenia własnej strony internetowej); 4) wykonywanie na zamówienie klienta (zamawiającego) określonych usługi w zakresie konfiguracji sprzętowej, programowej, w tym zabezpieczeń udostępnionych mu serwerów, innych urządzeń komputerowych oraz oprogramowania – usługi administracyjne i konserwacyjne; 5) wykonywanie na zamówienie klienta (zamawiającego) usług programistycznych, w tym aktualizacji oprogramowania na okoliczność zmieniających się przepisów prawnych lub wymagań klienta – usługi programistyczne itp. 6) samo przechowywanie dokumentacji podatkowej, księgowej, kadrowej i medycznej; 7) prowadzenie dokumentacji podatkowej, księgowej, kadrowej; 8) archiwizacja danych elektronicznych; 9) skanowanie i digitalizacja danych; 10) niszczenie nośników informacji. Inne przykłady przypadków uzasadniających skorzystanie z konstrukcji powierzenia przetwarzania danych można znaleźć np. w odpowiedzi na pytanie: Czy przekazanie dokumentacji do fumigacji powoduje konieczność zawarcia umowy powierzenia?, Czy w celu wytworzenia legitymacji należy skorzystać z powierzenia przetwarzania?, Czy po wejściu stosowania RODO CUW może powołać jednego IOD dla wszystkich obsługiwanych jednostek? Czy świadczenie usługi kolokacji implikuje konieczność zawarcia umowy powierzenia? (Newsletter UODO dla IOD Wydanie 3 (marzec 2020, str. 5)
Natomiast przedmiotem umowy o świadczenie usług, o której mowa w art. 37 ust. 6 RODO, powinny być zadania wskazane w art. 39 ust. 1 RODO, realizowane przy spełnieniu warunków określonych w przepisach tego aktu, w sposób gwarantujący inspektorowi niezależność. Administrator i podmiot przetwarzający mają m.in. obowiązek zapewnić, aby inspektor nie otrzymywał instrukcji dotyczących wykonywania swoich zadań (art. 38 ust 4 RODO).
Dostęp do danych osobowych niezbędnych (zewnętrznemu) IOD do wykonywania jego zadań wynika z przepisów prawa. Art. 38 ust. 2 RODO stanowi, że administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych w wypełnianiu przez niego zadań, o których mowa w art. 39, zapewniając mu m.in. dostęp do danych osobowych i operacji przetwarzania. W kontekście dostępu do danych należy podkreślić, że ust. 5 ww. tego artykułu zobowiązuje IOD do zachowania tajemnicy lub poufności co do wykonywania swoich zadań - zgodnie z prawem Unii lub prawem państwa członkowskiego.
W kontekście przedstawionego zagadnienia warto pamiętać, że możliwość wykonywania przez osobę, z którą zawierana jest umowa o świadczenie usług, zadań innych niż określone w RODO ograniczona jest zakazem występowania w tym zakresie konfliktu interesów (art. 38 ust. 6 RODO).
Warto również nadmienić, że Grupa Robocza art. 29 w Wytycznych dotyczących inspektorów ochrony danych (WP 243) podkreśla, że w przypadku gdy funkcję IOD pełni osoba spoza organizacji administratora- biorąc pod uwagę fakt, iż IOD posiada wiele zadań - administrator albo podmiot przetwarzający musi mieć pewność, że jeden IOD, z zespołem, jeśli jest to niezbędne, pozytywnie wypełni swoje obowiązki pomimo wyznaczenia go dla kilku podmiotów i organów publicznych (str. 11 – 12 Wytycznych). W odpowiedzi na pytanie Czy podmioty publiczne mogą powołać jednego IOD poza sytuacją uregulowaną w art. 37 ust. 3 RODO? wyjaśniamy, że skorzystanie z rozwiązania określonego w art. 37 ust. 3 RODO wymaga dokonania starannej analizy, czy wyznaczona osoba będzie w stanie prawidłowo wypełniać wszystkie swoje obowiązki wobec każdego administratora danych. Trzeba mieć przy tym świadomość, że wiele z obowiązków inspektorów przewidzianych w RODO wymaga stałego zaangażowania na rzecz administratora, który inspektora wyznaczył oraz tzw. „efektywnej dostępności” inspektora dla osób z danej organizacji. (więcej na ten temat: https://uodo.gov.pl/pl/223/655, https://uodo.gov.pl/pl/223/658, https://uodo.gov.pl/pl/223/707)
Podmiot udostępniający: | Departament Orzecznictwa i Legislacji | |
Wytworzył informację: | Monika Młotkiewicz | 2021-05-18 |
Wprowadził‚ informację: | Edyta Madziar | 2021-05-18 12:05:51 |
Ostatnio modyfikował: | Edyta Madziar | 2022-01-14 11:12:39 |