Logo biura

Infolinia Urzędu 606-950-000

Infolinia Urzędu 606-950-000

Czy należy podpisać umowę powierzenia z firmą sprzątającą?

Czy UODO mógłby podać oficjalne stanowisko w sprawie podpisywania umów powierzenia przetwarzania danych osobowych z firmami świadczącymi usługi niewymagające przetwarzania danych osobowych, np. z zewnętrznymi firmami sprzątającymi. Jako inspektor ochrony danych mam z tym problem. Kancelarie prawne i serwisy internetowe specjalizujące się w ochronie danych osobowych wydają w tym zakresie różne opinie.

Z taką zewnętrzną firmą sprzątającą podpisywana jest umowa na świadczenie usług sprzątania. W trakcie wykonywania usług może dojść do przypadkowego kontaktu z danymi osobowymi przetwarzanymi u administratora. Czy z tego powodu należy podpisać umowę powierzenia przetwarzania danych osobowych, czy też wystarczy zawrzeć w umowie klauzulę o zachowaniu danych w poufności?

Ocena przedstawionego zagadnienia będzie zależała przede wszystkim od tego, jaki jest zakres usług świadczonych przez zewnętrzną firmę sprzątającą, tj. czy usługi te obejmują obok usług porządkowych również np. niszczenie dokumentów lub inne działania, które nie mogą być realizowane bez dostępu do dokumentów lub innych nośników danych osobowych.

Konieczność zawarcia umowy powierzenia przetwarzania danych osobowych istnieje wówczas, gdy administrator w celu realizacji swoich celów (zadań) związanych z przetwarzaniem danych osobowych posługuje się innym, zewnętrznym podmiotem (więcej na ten temat pod linkiem:  https://uodo.gov.pl/pl/223/2050). Jak wynika z art. 28 ust. 1 RODO, z powierzeniem przetwarzania danych osobowych mamy do czynienia, gdy przetwarzanie danych osobowych jest dokonywane przez zewnętrzny podmiot w imieniu administratora, w celach określonych przez administratora i zgodnie z jego poleceniami i instrukcjami.

Natomiast usługi sprzątania powierzchni danego obiektu (np. uczelni, biura) trudno zaliczyć do usług związanych z przetwarzaniem danych osobowych. Należy zatem przyjąć, że co do zasady usługi takie nie wymagają powierzenia przetwarzania danych osobowych.

Niemniej w przypadku korzystania przez administratora z takich usług (jak i innych usług wymagających dostępu do pomieszczeń administratora, w których przetwarzane są dane osobowe) – konieczne może się okazać zastosowanie odpowiednich środków technicznych i organizacyjnych, których celem będzie zapewnienie odpowiedniej ochrony danych osobowych, w tym przed nieuprawnionym ujawnieniem danych osobowych.

Administrator powinien bowiem analizować ryzyko związane z przetwarzaniem danych i podejmować środki, które będą je minimalizować. Działania te powinny dotyczyć zarówno pracowników administratora, jak i podmiotu zewnętrznego. Powinny one polegać m.in. na wprowadzeniu odpowiednich procedur i zadbanie o ich skuteczne wdrożenie i realizowanie przez cały cykl przetwarzania danych (art. 24 RODO, art. 32 RODO). W procedurach tych warto też przewidzieć, iż mogą zdarzyć się sytuacje, w których pracownicy firmy sprzątającej znajdą określony dokument lub inny nośnik zawierający dane osobowe. Jednocześnie w umowie z firmą sprzątającą należy określić sposób postępowania w takiej sytuacji oraz obowiązki pracownika, który uzyskał przypadkowy dostęp do danych osobowych.

Wiele pomocnych wskazówek dotyczących powierzenia przetwarzania danych osobowych znaleźć można m.in. w Wytycznych Europejskiej Rady Ochrony Danych w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO (https://uodo.gov.pl/pl/414/1714). W ww. Wytycznych (pkt 79) wskazuje się, że przetwarzanie danych osobowych w imieniu administratora wymaga przede wszystkim, aby odrębny podmiot przetwarzał dane osobowe na rzecz administratora. W art. 4 ust. 2 przetwarzanie definiuje się jako pojęcie obejmujące szeroki zakres operacji, począwszy od zbierania, przechowywania i konsultacji po wykorzystywanie, rozpowszechnianie lub udostępnianie i niszczenie w inny sposób. W rozdziale dotyczącym pojęcia „osoby trzeciej” podany jest następujący przykład związany z usługami sprzątania (pkt 89): „Przedsiębiorstwo A zawiera umowę z firmą sprzątającą na sprzątanie swoich biur. Pracownicy sprzątający zgodnie z umową mają zakaz uzyskiwania dostępu do danych osobowych lub ich przetwarzania w inny sposób. Nawet, jeśli mogą oni czasami natknąć się na takie dane podczas poruszania się po biurze, mogą wykonywać swoje zadania bez dostępu do danych. Osoby sprzątające nie są zatrudnione przez przedsiębiorstwo A ani nie są postrzegane jako podlegające bezpośredniemu zwierzchnictwu tej spółki. Przedsiębiorstwo A nie ma zamiaru angażować firmy sprzątającej ani jej pracowników w przetwarzanie danych osobowych. Firmę świadczącą usługi sprzątania i jej pracowników należy zatem postrzegać jako osobę trzecią, a administrator musi upewnić się, że istnieją odpowiednie środki bezpieczeństwa, aby uniemożliwić tej firmie i jej pracownikom dostęp do danych, oraz ustanowić obowiązek zachowania poufności w przypadku przypadkowego natknięcia się na dane osobowe.”

2022-01-11 Metadane artykułu
Podmiot udostępniający: Departament Orzecznictwa i Legislacji
Wytworzył informację: Monika Młotkiewicz 2022-01-11
Wprowadził‚ informację: Edyta Madziar 2022-01-11 08:01:35
Ostatnio modyfikował: Edyta Madziar 2022-01-11 08:08:09