Umowa powierzenia czy klauzula o zachowaniu danych w poufności?
W pierwszej kolejności należy wziąć pod uwagę zakres usług świadczonych przez firmę sprzątającą oraz czy wykonywane usługi obejmują również niszczenie dokumentów bądź też inne działania, które nie mogą być realizowane bez dostępu do dokumentów lub innych nośników danych osobowych. Wykonywanie usług sprzątania powierzchni danego obiektu nie należy do usług związanych z przetwarzaniem danych osobowych, zatem w takiej sytuacji co do zasady nie dochodzi do przetwarzania danych osobowych.
W przypadku jednak, gdy administrator zdecyduje się na korzystanie z usług, w wyniku których niezbędne będzie korzystanie np. z pomieszczeń administratora, w których są przetwarzane dane osobowe, konieczne będzie zastosowanie odpowiednich środków technicznych i organizacyjnych mających na celu zapewnienie odpowiedniej ochrony danych osobowych.
Zgodnie z art. 24 RODO oraz art. 32 RODO, działania mające na celu analizowanie potencjalnego ryzyka związanego z przetwarzaniem danych i podejmowaniem środków, które mają je minimalizować ciążą nie tylko na samym administratorze, ale również na podmiocie zewnętrznym.
W umowie z firmą sprzątającą warto uwzględnić sposób postępowania w sytuacji, gdy pracownicy tej firmy chociażby nieświadomie znajdą określony dokument lub inny nośnik zawierający dane osobowe.
Biorąc pod uwagę powyższe warto zaznaczyć, że zgodnie z zawartą umową w zakresie wykonywania usług sprzątania, pracownicy zatrudnieni w tej firmie nie mogą w żaden sposób uzyskiwać dostępu do danych osobowych, jak i nie mogą ich w żaden sposób przetwarzać. Firma sprzątająca jest firmą zewnętrzną i należy ją postrzegać jako osobę trzecią, a administrator powinien upewnić się, że stosowane są środki bezpieczeństwa, które uniemożliwiają tej firmie i jej pracownikom dostęp do danych oraz ustanowić obowiązek poufności w przypadku natknięcia się na dane osobowe.
Co to jest powierzenie przetwarzania danych osobowych?
Powierzenie przetwarzania danych osobowych – jest to sytuacja, gdy przetwarzanie danych osobowych jest dokonywane przez zewnętrzny podmiot w imieniu administratora, w celach przez niego określonych i zgodnie z jego poleceniami i instrukcjami.
Kiedy mamy do czynienia z koniecznością zawarcia umowy powierzenia przetwarzania danych osobowych?
Zgodnie z art. 28 ust. 1 RODO konieczność zawarcia umowy powierzenia przetwarzania danych osobowych występuje w sytuacji, gdy w celu realizacji swoich celów związanych z przetwarzaniem danych osobowych administrator posługuje się innym zewnętrznym podmiotem.
Co musi zawierać umowa powierzenia?
Po podjęciu decyzji o zawarciu umowy powierzenia warto wiedzieć, co taka umowa powinna zawierać. Katalog obligatoryjnych postanowień umowy powierzenia został wskazany przez ustawodawcę w art. 28 ust. 3 RODO.
Ustawodawca wskazał, że umowa powierzenia powinna obejmować:
- przedmiot przetwarzania – ściśle powiązany z realizacją przedmiotu umowy głównej zawartej pomiędzy administratorem, a podmiotem przetwarzającym;
- czas trwania przetwarzania – powiązany z realizacją przez podmiot zewnętrzny usługi na rzecz administratora;
- charakter przetwarzania – określający częstotliwość, powtarzalność, czasowość, długoterminowość przetwarzania danych osobowych;
- cel przetwarzania – po co dane osobowe mają być przetwarzane w imieniu administratora;
- określenie rodzaju danych osobowych – jakie konkretnie dane osobowe będą podlegały powierzeniu, z uwzględnieniem czy są to dane zwykłe, czy dane szczególnych kategorii;
- kategorie osób, których dane dotyczą – np. dane pracowników, klientów;
- obowiązki i prawa administratora.
Dodatkowo umowa powierzenia powinna określać także obowiązki przedmiotowe podmiotu przetwarzającego, uregulowane w art. 28 ust. 3 RODO:
- Przetwarzanie danych może nastąpić jedynie w przypadku udokumentowanego polecenia administratora, w tym przekazywanie danych do państw trzecich;
- Zapewnienie, że dane będą przetwarzane jedynie przez osoby posiadające upoważnienie do przetwarzania danych oraz są zobowiązane do zachowania tajemnicy;
- Zobowiązanie do pomocy administratorowi w wywiązywaniu się przez niego z obowiązków zgłaszania naruszeń ochrony danych do Prezesa Urzędu Ochrony Danych oraz osoby, której dane dotyczą (art. 33 i art. 34 RODO);
- Zwrot lub usuwanie danych osobowych po zakończeniu świadczenia usługi, z którą powiązane jest powierzenie przetwarzania danych osobowych (w zależności od decyzji administratora);
- Przekazanie wszelkich informacji dotyczących przetwarzania w ramach zawartej umowy powierzenia oraz umożliwienie administratorowi przeprowadzania audytów w zakresie realizacji tej umowy.
Wykonywanie usług przez zewnętrzną firmę sprzątającą a przypadkowy kontakt z danymi osobowymi.
Podstawa prawna:
- ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)