Monitor Prawa Pracy i Ubezpieczeń 7/2020, data dodania: 07.07.2020

Czy przekazanie dokumentacji do odkażania powoduje konieczność zawarcia umowy powierzenia przetwarzania danych osobowych

PROBLEM

Chcemy przekazać do odkażania (fumigacji) kartony zawierające dokumenty kadrowe. Kartony te są zamknięte, zapieczętowane i na żadnym etapie odkażania nie będą otwierane przez pracowników zleceniobiorcy. Czy w takim przypadku należy zawrzeć z firmą dokonującą odkażania umowę powierzenia przetwarzania danych? Sytuację tę można porównać do przekazywania przesyłek poczcie w celu ich dostarczenia - wtedy nie ma potrzeby zawierania umowy powierzenia.

RADA

Powinniście Państwo skorzystać z umowy powierzenia przetwarzania danych osobowych, ponieważ daje ona podstawę prawną do przekazania danych zewnętrznemu usługodawcy. Jednocześnie pozwoli pracodawcy zapewnić kontrolę na danymi osobowymi zawartymi w dokumentach i ich bezpieczeństwo.

UZASADNIENIE

Zawarcie umowy powierzenia będzie uzasadnione, gdy adminitrator - w celu skorzystania z usługi fumigacji - przekazuje dokumenty zawierające dane osobowe, niezależnie od tego, czy podczas wykonywania usługi, kartony z dokumentami będą otwierane czy nie. Jednocześnie stanowi instrument służący zapewnieniu przez administratora kontroli nad przetwarzanymi danymi osobowymi i ich bezpieczeństwem. Z drugiej strony podmiot przetwarzający zostaje zobowiązany na podstawie takiej umowy do odpowiedniego zabezpieczenia danych, które otrzymuje od administratora. W tym przypadku następuje zabezpieczenie danych przed ujawnieniem, zniszczeniem, utratą danych osobowych czy nieautoryzowaną modyfikacją.

Inaczej jest natomiast w przypadku przetwarzania danych osobowych przez operatorów pocztowych. Poczta Polska i inni operatorzy pocztowi w związku z wykonywaniem usług pocztowych są administratorami danych osobowych nadawców i adresatów przesyłek. Jednocześnie odpowiadają za bezpieczeństwo przesyłek (i zawartych w nich danych osobowych) w ramach należytego wykonywania usług pocztowych oraz przestrzegania zasad i obowiązków określonych w Prawie pocztowym. Zgodnie z przepisami Prawa pocztowego operatorzy pocztowi są zobowiązani do ochrony tajemnicy pocztowej, która obejmuje informacje przekazywane w przesyłkach pocztowych. Mają obowiązek zachowania należytej staranności w zakresie uzasadnionym względami technicznymi lub ekonomicznymi przy zabezpieczaniu urządzeń i obiektów wykorzystywanych do świadczenia usług pocztowych oraz zbiorów danych przed ujawnieniem tajemnicy pocztowej (art. 41 ust. 6 ustawy - Prawo pocztowe). Dlatego zawarcie umowy powierzenia przetwarzania danych osobowych z podmiotem dokonującym odkażania kartonów z dokumentami będzie konieczne.

Warto przypomnieć, że nawet wtedy, gdy administrator korzysta z usług podmiotu przetwarzającego, nadal jest odpowiedzialny - w zakresie powierzonego przetwarzania - za przestrzeganie przepisów prawa i musi być w stanie wykazać ich przestrzeganie (art. 5 ust. 2 RODO). Ponadto na administratora nałożone są obowiązki i odpowiedzialność prawna za przetwarzanie danych osobowych przez niego samego lub w jego imieniu (motyw 74 RODO).

Przede wszystkim obowiązkiem administratora jest zadbanie o to, by korzystać z usług tylko takiego podmiotu przetwarzającego, który zapewnia wystarczające gwarancje - w szczególności jeśli chodzi o wiedzę fachową, wiarygodność i zasoby - wdrożenia środków technicznych i organizacyjnych, które odpowiadają wymogom RODO, w tym wymogom bezpieczeństwa przetwarzania i chronią prawa osób, których dotyczą (art. 28 ust. 1 RODO i motyw 81 RODO).

W związku z tym administrator powinien mieć możliwość sprawdzenia, komu powierza dane osobowe oraz w jaki sposób będą one przetwarzane. Prawo dostępu do takich informacji oraz przeprowadzania audytów przysługuje administratorowi również w trakcie realizacji umowy powierzenia. W tym celu w na podmiot przetwarzający zostały nałożone obowiązki udostępniania administratorowi wszelkich informacji potwierdzających spełnienie wymogów RODO, a także umożliwienia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczyniania się do nich (art. 28 ust. 3 lit. h RODO).

Administrator jest bowiem zobowiązany do stałej kontroli, czy podmiot przetwarzający przetwarza dane zgodnie z prawem. Kontrole te mogą być przeprowadzane również doraźnie np. w przypadku wystąpienia naruszenia ochrony powierzonych danych osobowych. Zatem jakiekolwiek inne postanowienia umowy powierzenia, które w istocie ograniczały ww. prawa administratora należałoby uznać za niezgodne z RODO. Podobnie należy ocenić utrudnianie lub ograniczanie administratorowi możliwości przeprowadzania kontroli u podmiotu przetwarzającego lub ograniczanie jej zakresu.

Podstawa prawna:

motyw 74 i 81, art. 5 ust. 2, art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE - ogólne rozporządzenie o ochronie danych - Dz.Urz. UE L Nr 119, str. 1; ost.zm. Dz.Urz. UE L z 2018 r. Nr 127, s. 2

art. 41 ust. 6 ustawy z 23 listopada 2012 r. - Prawo pocztowe - j.t. Dz.U. z 2020 r. poz. 1041

Monika Młotkiewicz,

naczelnik Wydziału Współpracy z Inspektorami Ochrony Danych w UODO

Notyfikacje

Czy chcesz otrzymywać informacje o najnowszych szkoleniach? Zgódź się na powiadomienia od wideoakademii

Powiadomienia można wyłączyć w preferencjach systemowych
NIE NIE
TAK TAK