Zlecenie archiwizacji dokumentów z danymi osobowymi – czy potrzebna jest umowa powierzenia

Przed podjęciem decyzji o skorzystaniu z usług zewnętrznego podmiotu archiwizacyjnego, należy rozważyć wady i zalety takiego rozwiązania. Outsourcing archiwizacji niesie bowiem za sobą ryzyko. Podmiot, któremu zlecana zostaje archiwizacja, to zewnętrzna firma, która ma dostęp do dokumentów, w tym zawartych w nich danych osobowych, jednocześnie nad działaniami której zlecający nie ma pełnej kontroli.

Zanim administrator danych podejmie decyzję o skorzystaniu z usług zewnętrznego podmiotu w zakresie archiwizacji, warto by przeprowadził analizę ryzyka i ocenił, jakie ryzyko niesie powierzenie do archiwizacji dokumentów zawierających określone kategorie danych. W wyniku przeprowadzonej analizy może się okazać, że powierzenie archiwizacji dokumentów zawierających dane osobowe wrażliwe (np. dane o stanie zdrowia) czy inne dane szczególnie istotne dla firmy, może nieść ze sobą niewspółmiernie duże ryzyko naruszenia ochrony tych danych w porównaniu do korzyści, jakie zapewnia outsourcing archiwizacji.

Administrator danych musi pamiętać, że nawet jeśli wybierze renomowaną firmę zajmującą się archiwizacją dokumentów, nie zwalnia go to od odpowiedzialności za powierzone dokumenty, które w zdecydowanej większości przypadków będą zawierać dane osobowe. Wynika to z art. 31 ust. 4 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, zgodnie z którym w przypadku powierzenia danych osobowych do przetwarzania innemu podmiotowi, odpowiedzialność za przestrzeganie przepisów ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

W przypadku archiwizacji dokumentów zawierających dane osobowe konieczne będzie zawarcie umowy powierzenia przetwarzania danych osobowych lub dodanie postanowień dotyczących powierzania danych osobowych do umowy dotyczącej archiwizacji dokumentów.

Zgodnie z ustawą o ochronie danych osobowych umowa powierzenia przetwarzania danych powinna być zawarta na piśmie oraz określać zakres i cel przetwarzania. Na podstawie umowy podmiot zlecający (administrator danych) powierza przetwarzanie określonych danych osobowych (np. dane osobowe pracowników zawarte w dokumentacji pracowniczej) na rzecz zewnętrznej firmy w celu archiwizacji dokumentów.

Firma zajmująca się archiwizacją dokumentów, działając jako podmiot przetwarzający (procesor), jest zobowiązana przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające dane oraz spełnić wymagania określone w przepisach o ochronie danych osobowych m.in. wdrożyć dokumentację ochrony danych osobowych – politykę bezpieczeństwa danych osobowych i instrukcję zarządzania systemem informatycznym. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych. W umowie powierzenia warto zawrzeć także dodatkowe postanowienia, które zabezpieczą interes administratora i powierzone do przetwarzania dane.

W umowie powierzenia warto zastrzec na rzecz administratora danych prawo kontroli zastosowanych przez procesora sposobów ochrony powierzonych danych osobowych oraz prawo do kierowania do procesora zapytań dotyczących ochrony danych w jego organizacji. Należy uregulować sposób wykonania tego prawa, np. poprzez określenie formy zawiadomienia procesora i czasu, po jakim będzie zobowiązany dopuścić administratora danych do przeprowadzenia kontroli lub udzielić odpowiedzi na zapytanie. Dodatkowo należy wskazać, na jakich warunkach i czy w ogóle procesor ma prawo do dalszego powierzenia przetwarzania danych, czyli skorzystania z usług podwykonawcy w zakresie archiwizacji powierzonej dokumentacji.

Wskazane jest także uregulowanie sposobu i terminu zwrotu lub zniszczenia dokumentów po zakończeniu umowy. Zapewni to jasne określenie obowiązków procesora związanych z zakończeniem współpracy i pozwoli uniknąć wątpliwości, kogo obciążają koszty zwrotu dokumentów czy w jakim terminie dokumenty powinny zostać zwrócone lub zniszczone.

W umowie powierzenia można także zastrzec kary umowne na wypadek niewłaściwego wykonywania umowy przez stronę, np. za naruszenia w procesie przetwarzania danych, jakich dopuścił się procesor wykryte w trakcie kontroli.