Z IOD spoza firmy należy zawrzeć umowę powierzenia

W pierwszej kolejności należy ustalić podział ról w systemie ochrony danych osobowych – kim jest administrator danych osobowych, a kim jest osoba upoważniona do przetwarzania danych osobowych. Otóż zgodnie z art. 4 pkt 7 RODO administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. W opisanym przypadku administratorem danych będzie więc podmiot, który zbiera dane osobowe i decyduje o celach i środkach przetwarzania tych danych.

Kiedy w ogóle dochodzi do przetwarzania danych osobowych? Przetwarzaniem są jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych (art. 4 pkt 2 RODO). Tak szeroka definicja przetwarzania danych oznacza w praktyce, że administrator danych zawsze musi udostępnić dane osobowe poprzez zawarcie umowy powierzenia przetwarzania danych osobowych albo też upoważnić do przetwarzania danych osobowych konkretne osoby pozostające w strukturach tego administratora danych osobowych.

Wybór pomiędzy powierzeniem przetwarzania danych osobowych a upoważnieniem do ich przetwarzania sprowadza się do tego, czy administrator danych osobowych chce umożliwić ich przetwarzanie:

• przez inny podmiot prawa – wówczas konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych,
• wewnątrz swojej struktury przez określone osoby (pracowników) – wówczas konieczne jest udzielenie imiennie tym osobom upoważnienia do przetwarzania danych osobowych.

Powierzenie przetwarzania danych osobowych ma więc na celu uprawnienie innego podmiotu do przetwarzania danych osobowych znajdujących się w posiadaniu danego administratora danych osobowych. Powierzenie przetwarzania danych osobowych pozwala w stosunkowo prosty sposób uprawnić do przetwarzania danych osobowych podmioty, które normalnie nie mogłyby tego robić.

Należy więc mieć świadomość tego, że zawarcie takiej umowy jest niezbędne zawsze gdy ma dojść do przekazania innemu podmiotowi danych osobowych innych osób. Z taką właśnie sytuacją mamy do czynienia w przypadku przetwarzania danych osobowych przez zewnętrznego inspektora ochrony danych (tj. zatrudnionego na podstawie wskazanego umowy zlecenia). Nie ma tu żadnego wyjątku przewidzianego w RODO – skoro odrębny podmiot mający zamiar świadczyć usługi IOD będzie miał dostęp do danych osobowych to musi mieć ku temu podstawę prawną, którą będzie stanowiła umowa powierzenia przetwarzania danych osobowych.

Umowa o powierzeniu przetwarzania danych osobowych powinna być zawarta w formie pisemnej. W treści umowy zawsze trzeba wskazać zakres oraz cel powierzenia przetwarzania. Warto pamiętać, że administrator danych osobowych może powierzyć przetwarzanie danych osobowych podmiotowi trzeciemu bez zgody osoby, której dane są powierzane (art. 28 RODO).