Zlecenie archiwizacji dokumentów z danymi osobowymi – czy potrzebna jest umowa powierzenia

Włodzimierz Dola

Autor: Katarzyna Zaklikocka

Dodano: 22 sierpnia 2017
Dokument archiwalny
Zlecenie archiwizacji dokumentów z danymi osobowymi – czy potrzebna jest umowa powierzenia
Pytanie:  W naszym firmowym archiwum firmowym zaczyna brakować miejsca i przechowywanie dużej liczby dokumentów staje się dla nas uciążliwe. W związku z tym podjęliśmy decyzję, że skorzystamy w usług zewnętrznej firmy oferującej usługi archiwizacji dokumentacji. Czy w takiej sytuacji powinniśmy z tym podmiotem podpisać umowę powierzenia przetwarzania danych osobowych?
Odpowiedź: 

Jeżeli w przechowywanej do firmy zewnętrznej dokumentacji znajdują się dane osobowe, należy podpisać z nią umowę powierzenia przetwarzania danych.

Przed podjęciem decyzji o skorzystaniu z usług zewnętrznego podmiotu archiwizacyjnego, należy rozważyć wady i zalety takiego rozwiązania. Outsourcing archiwizacji niesie bowiem za sobą ryzyko. Podmiot, któremu zlecana zostaje archiwizacja, to zewnętrzna firma, która ma dostęp do dokumentów, w tym zawartych w nich danych osobowych, jednocześnie nad działaniami której zlecający nie ma pełnej kontroli.

Zanim administrator danych podejmie decyzję o skorzystaniu z usług zewnętrznego podmiotu w zakresie archiwizacji, warto by przeprowadził analizę ryzyka i ocenił, jakie ryzyko niesie powierzenie do archiwizacji dokumentów zawierających określone kategorie danych. W wyniku przeprowadzonej analizy może się okazać, że powierzenie archiwizacji dokumentów zawierających dane osobowe wrażliwe (np. dane o stanie zdrowia) czy inne dane szczególnie istotne dla firmy, może nieść ze sobą niewspółmiernie duże ryzyko naruszenia ochrony tych danych w porównaniu do korzyści, jakie zapewnia outsourcing archiwizacji.

Ważne:

Decydując się na outsourcing archiwizacji, należy korzystać ze sprawdzonych podmiotów, zapewniających profesjonalne przechowywanie i bezpieczeństwo danych. Dobrą praktyką jest wymaganie referencji, informacji dotyczących bezpieczeństwa danych osobowych i zabezpieczeń stosowanych przez firmę archiwizującą, a nawet przeprowadzenie wstępnego audytu ochrony danych osobowych u przyszłego kontrahenta.

Administrator danych musi pamiętać, że nawet jeśli wybierze renomowaną firmę zajmującą się archiwizacją dokumentów, nie zwalnia go to od odpowiedzialności za powierzone dokumenty, które w zdecydowanej większości przypadków będą zawierać dane osobowe. Wynika to z art. 31 ust. 4 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, zgodnie z którym w przypadku powierzenia danych osobowych do przetwarzania innemu podmiotowi, odpowiedzialność za przestrzeganie przepisów ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

W przypadku archiwizacji dokumentów zawierających dane osobowe konieczne będzie zawarcie umowy powierzenia przetwarzania danych osobowych lub dodanie postanowień dotyczących powierzania danych osobowych do umowy dotyczącej archiwizacji dokumentów.

Co uregulować w umowie powierzenia

Zgodnie z ustawą o ochronie danych osobowych umowa powierzenia przetwarzania danych powinna być zawarta na piśmie oraz określać zakres i cel przetwarzania. Na podstawie umowy podmiot zlecający (administrator danych) powierza przetwarzanie określonych danych osobowych (np. dane osobowe pracowników zawarte w dokumentacji pracowniczej) na rzecz zewnętrznej firmy w celu archiwizacji dokumentów.

Firma zajmująca się archiwizacją dokumentów, działając jako podmiot przetwarzający (procesor), jest zobowiązana przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające dane oraz spełnić wymagania określone w przepisach o ochronie danych osobowych m.in. wdrożyć dokumentację ochrony danych osobowych – politykę bezpieczeństwa danych osobowych i instrukcję zarządzania systemem informatycznym. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych. W umowie powierzenia warto zawrzeć także dodatkowe postanowienia, które zabezpieczą interes administratora i powierzone do przetwarzania dane.

W umowie powierzenia warto zastrzec na rzecz administratora danych prawo kontroli zastosowanych przez procesora sposobów ochrony powierzonych danych osobowych oraz prawo do kierowania do procesora zapytań dotyczących ochrony danych w jego organizacji. Należy uregulować sposób wykonania tego prawa, np. poprzez określenie formy zawiadomienia procesora i czasu, po jakim będzie zobowiązany dopuścić administratora danych do przeprowadzenia kontroli lub udzielić odpowiedzi na zapytanie. Dodatkowo należy wskazać, na jakich warunkach i czy w ogóle procesor ma prawo do dalszego powierzenia przetwarzania danych, czyli skorzystania z usług podwykonawcy w zakresie archiwizacji powierzonej dokumentacji.

Wskazane jest także uregulowanie sposobu i terminu zwrotu lub zniszczenia dokumentów po zakończeniu umowy. Zapewni to jasne określenie obowiązków procesora związanych z zakończeniem współpracy i pozwoli uniknąć wątpliwości, kogo obciążają koszty zwrotu dokumentów czy w jakim terminie dokumenty powinny zostać zwrócone lub zniszczone.

W umowie powierzenia można także zastrzec kary umowne na wypadek niewłaściwego wykonywania umowy przez stronę, np. za naruszenia w procesie przetwarzania danych, jakich dopuścił się procesor wykryte w trakcie kontroli.

Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922).
Włodzimierz Dola

Autor: Katarzyna Zaklikocka

aplikantka radcowska przy OIRP w Warszawie, absolwentka Wydziału Prawa i Administracji Uniwersytetu Gdańskiego oraz studiów podyplomowych na kierunku Zarządzanie Bezpieczeństwem Informacji w Szkole Głównej Handlowej w Warszawie. Posiada kilkuletnie doświadczenie w zakresie doradztwa z ochrony danych osobowych zdobyte w kancelariach prawnych, doświadczony administrator bezpieczeństwa informacji i trener, autorka artykułów i opracowań dotyczących tematyki ochrony danych osobowych, ekspert w zakresie prawa pracy i przetwarzania danych osobowych w związku z rekrutacją i zatrudnieniem

Nasi partnerzy i zdobyte nagrody » 


Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel