Czy konieczna umowa powierzenia z IOD – analizujemy stanowisko UODO

Przede wszystkim UODO nie stwierdził wyraźnie czy potrzebna jest odrębna umowa powierzenia czy też nie. Organ poprzestał na stwierdzeniu, że „wykonywanie zadań IOD przez osobę, która nie jest członkiem personelu administratora powinno następować na podstawie umowy o świadczenie usług niebędącej umową powierzenia danych”. Trudno się z tym nie zgodzić.

Niemniej jednak poza umową o świadczenie usług IOD, niebędącej umową o powierzenia przetwarzania danych, zachodzi konieczność zawarcia umowy o przetwarzanie danych osobowych.

Podobne zdanie wydaje się przeważać wśród ekspertów danych osobowych.

Wybór pomiędzy powierzeniem przetwarzania danych osobowych a upoważnieniem do ich przetwarzania sprowadza się do tego, czy administrator danych osobowych chce umożliwić ich przetwarzanie:

• przez inny podmiot prawa – wówczas konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych;

• wewnątrz swojej struktury przez określone osoby (pracowników) – wówczas konieczne jest udzielenie imiennie tym osobom upoważnienia do przetwarzania danych osobowych.

Powierzenie przetwarzania danych osobowych to więc sposób na uprawnienie innego podmiotu do przetwarzania danych osobowych znajdujących się w posiadaniu danego administratora danych. Zawarcie takiej umowy jest niezbędne zawsze gdy ma dojść do przekazania innemu podmiotowi danych osobowych innych osób. Z taką właśnie sytuacją mamy do czynienia w przypadku przetwarzania danych osobowych przez zewnętrznego inspektora ochrony danych.

Jeżeli nie zawarto umowy powierzenia przetwarzania z IOD a mimo to doszło do przekazania danych osobowych to administrator danych może się narazić na zarzut przekazania danych osobie nieuprawnionej i wynikającą z tego faktu odpowiedzialność.