dane osoboweZ jakimi firmami muszę podpisać umowę powierzenia danych osobowych? Czy z księgową również?

 

Administrator danych osobowych decydując o celach i środkach przetwarzania danych osobowych, może wykonywać czynności na tych danych samodzielnie bądź zlecić je innemu podmiotowi.

Komu mogę powierzyć przetwarzane dane osobowe?

Bardzo częstą praktyką przedsiębiorców staje się powierzenie całości lub części czynności związanych z prowadzeniem m.in. polityki kadrowo-płacowej wyspecjalizowanym podmiotom zewnętrznym (outsourcing).

Działania tego rodzaju są jak najbardziej dopuszczalne prawnie i gwarantują profesjonalną obsługę, najczęściej jednak realizowane są w sposób naruszający obowiązki ustawowe.

Zgodnie z Ustawą o ochronie danych osobowych przedsiębiorca może powierzyć innemu podmiotowi przetwarzanie danych osobowych swoich pracowników, w celu wykonywania na jego rzecz lub w jego imieniu obowiązkowych czynności określonych w szeroko rozumianym prawie pracy. Zlecenie tego rodzaju usługi musi być wynikiem umowy zawartej na piśmie pomiędzy Administratorem danych osobowych a Usługobiorcą – Przetwarzającym dane osobowe (art. 31 ust. 1)

Jak powinna wyglądać umowa powierzenia danych osobowych?

Umowa powierzenia danych osobowych do przetwarzania, to szczególny rodzaj umowy o świadczeniu usług będących kombinacją czynności prawnych i faktycznych, dlatego też winna ona zawierać takie elementy jak:

  • strony umowy,

  • przedmiot umowy,

  • zabezpieczenia przedmiotu umowy,

  • podwykonawcy,

  • rozwiązanie umowy,

  • zasady odpowiedzialności stron umowy.

    Umowa winna wskazywać podstawę prawną dopuszczającą powierzenie danych do przetwarzania – art. 31 ust. 1 ustawy o ochronie danych osobowych, Administratora danych osobowych w stosunku do informacji stanowiących przedmiot umowy, oświadczenie o posiadaniu przez przetwarzającego wszystkich niezbędnych uprawnień do wykonywania działalności objętej umową, np. związanych z prowadzeniem ksiąg rachunkowych.

Jak opisać przedmiot umowy?

Przedmiot umowy powinien zawierać przede wszystkim ustawowy wymóg określenia zakresu i celu powierzenia danych osobowych (art. 31 ust. 2 ), na który powinny się składać:

  1. rodzaj powierzanych danych osobowych;
  2. cel przetwarzania danych osobowych;
  3. zakres dopuszczalnego przetwarzania danych osobowych;
  4. forma przetwarzania danych osobowych;
  5. czas trwania umowy.

W przypadku powierzenia danych osobowych w celu realizacji obowiązków kadrowo-płacowych ciążących na

przedsiębiorcy, nie jest konieczne wymienianie wszystkich danych oraz zakresu dopuszczalnych czynności, gdyż zarówno zawartość tego zbioru, jak również procesy kadrowe są jednoznacznie określone przez prawo powszechnie obowiązujące.

W umowie powierzenia przetwarzania danych osobowych należy zawrzeć zasady, jakie powinien wdrożyć przedsiębiorca w celu właściwego zabezpieczenia powierzonych danych osobowych zanim podejmie się wykonywania zlecenia. (art. 31 ust. 3).

Chodzi o zasady udzielania upoważnień do przetwarzania danych osobowych dla poszczególnych pracowników Przetwarzającego, którzy będą mieć dostęp do powierzonych danych osobowych np.

 „Upoważnienia dla pracowników przetwarzającego są wydawane osobiście przez ADO”

Upoważnienia dla pracowników wydaje sam przetwarzający, na podstawie właściwego pełnomocnictwa uzyskanego od ADO”

Następnie Administrator danych osobowych winien upewnić się czy przetwarzający wdrożył niezbędne zabezpieczenia organizacyjno-techniczne oraz obowiązkową dokumentację bezpieczeństwa. Wiedzę w tym zakresie powinien posiąść jeszcze przed przekazaniem danych osobowych doprzetwarzania. Decydując się na powierzenie danych osobowych do przetwarzania należy określić również kwestie związane z działaniami mającymi nastąpić w chwili rozwiązania umowy, tj.: zwrot, usunięcie, anonimizacja danych osobowych.

Co ważne, przedsiębiorca podejmując decyzję o powierzeniu przetwarzania danych osobowych swoich pracowników innemu podmiotowi w celu realizacji swoich zadań kadrowo-płacowych, nie musi uzyskiwać jakiejkolwiek ich zgody ani informować ich o tym fakcie.

Podsumowanie

Do powierzenia danych dochodzi gdy przedsiębiorca zleca usługę na zewnątrz i jednocześnie przekazuje dane komuś innemu, kto używa ich w jego imieniu i na jego rzecz. Umowa powierzenia danych osobowych to nieodłączny element prawidłowego wdrożenia dokumentacji ochrony danych osobowych w firmie. Zlecanie czynności związanych z prowadzeniem księgowości, wsparcia IT itp. firmie zewnętrznej jest bardzo często stosowaną przez przedsiębiorców, legalną praktyką.

Należy jedynie pamiętać by zawrzeć z podmiotem zewnętrznym umowę pisemną, uwzględniając wyżej opisane elementy, a zwłaszcza cel i zakres przetwarzania danych osobowych.

5.00 avg. rating (97% score) - 2 votes