Umowa powierzenia danych osobowych w małej firmie

Artykuł ten jest częścią większego cyklu poświęconego ochronie danych osobowych.

Umowa powierzenia danych osobowych w małej firmie

Bardzo często dane osobowe nie tylko przechowuje się i przetwarza w ramach działalności gospodarczej, ale też udostępnia podmiotom trzecim. Przepisy wymagają by w każdym takim przypadku zawrzeć umowę powierzenia danych osobowych.

Co powoduje konieczność zawarcia umowy dotyczącej powierzenia danych osobowych?

Zasadniczo kiedy firma przekazuje dane osobowe innej osobie prawnej (innej firmie, organizacji, jednostce samorządu terytorialnego) powinna z nią zawrzeć Umowę powierzenia danych osobowych.
Próba dostosowania się do tego przepisu w wersji nie-zawężonej szybko doprowadzi jednak do całkowitego paraliżu przedsiębiorstwa. Dlaczego? Wyjaśniamy w przykładzie 1.
Przykład 1.

Pani Ola Igrekowska jest przedstawicielem handlowym. Sekretarka umówiła jej spotkanie i prezentację usług informatycznych w siedzibie firmy XyZ. W wiadomości email znalazły się następujące informacje: imię i nazwisko Pani Oli, jej telefon, zakres godzinowy spotkania. Dla potrzeb ochrony budynku XyZ, sekretarka dodała, że Pani Ola podjedzie niebieskim, służbowym Fordem.

Gdzie tu przekazanie danych osobowych? Wszędzie. Tylko na podstawie tego maila można dowiedzieć się, że znana z imienia i nazwiska osoba w danych godzinach będzie w danej lokalizacji. Wystarczy by np.:
– Porwać Panią Olę zanim dojedzie do siedziby XyZ, lub gdy ją opuści.
– Okraść mieszkanie Pani Oli, wiedząc, że w danych godzinach nie ma jej w domu.
Powyższy przykład z jednej strony pokazuje, że niemal każde dane są zarówno danymi osobowymi w rozumieniu RODO, jak i istotnymi informacjami osobistymi w rozumieniu potocznym.
Z drugiej jednak strony Przykład 1 wskazuje na praktyczną niemożliwość zawarcia umów powierzenia danych osobowych z każdą firmą, której się je przekazuje.

W powyższym przykładzie, Pani Ola, która jest przedstawicielem handlowym może mieć umówionych po 5 spotkań dziennie, każde z inną firmą. Samo zawarcie odpowiednich umów powierzenia danych całkowicie sparaliżowałoby jej pracę. Po za tym firma otrzymująca dane tak czy inaczej będzie je chronić by nie złamać przepisów o tajemnicy handlowej.

Z tego względu wydaje się zasadne ograniczenie umów jedynie do przypadków przekazania zbiorów danych osobowych, lub danych szczególnie wrażliwych.
Dobrymi przykładami są na przykład:
– Przekazanie dokumentacji dotyczącej zatrudnienia zewnętrznej firmie księgowej lub kadrowej;
– Przekazanie wyników badań pracowników zewnętrznej firmie ubezpieczeniowej;
– Przekazanie listy uczestników i dodatkowych wymagań związanych z nimi, firmie organizującej wyjazd integracyjny.
– Przekazanie bazy klientów firmie, która podjęła się pośrednictwa w sprzedaży.

W jaki sposób zawierana jest umowa powierzenia danych osobowych?

W umowie dotyczącej powierzenia danych osobowych jedna firma powierza, a druga zobowiązuje się przechowywać i przetwarzać zgodnie z przepisami pewien zbiór danych.

Dla potrzeb dowodowych zdecydowanie lepiej zawrzeć taką umowę na piśmie, nic jednak nie stoi na przeszkodzie zawarciu jej drogą elektroniczną. W praktyce optymalne staje się przygotowanie szablonu umowy powierzenia danych osobowych, w którym będzie się jedynie wypełniało
– Dane firmy/organizacji, której powierza się dane;
– Zakres przekazywanych danych;
– Daty rozpoczęcia i zakończenia umowy;
– Obowiązki firmy, której powierzono dane na wypadek ustania współpracy (np. usunięcie zbiorów).

Z kim zawierać umowy powierzenia danych osobowych?

W praktyce zawieranie umów powierzenia danych osobowych ma sens jedynie z usługodawcami i podwykonawcami.
Nawet jeśli firma przekazuje pewne dane swojemu klientowi, lub potencjalnemu klientowi to niby dlaczego miałby on godzić się na administrowanie danymi?
Umowa jak sama nazwa wskazuje wymaga dobrowolnej zgody dwóch lub więcej stron, więc umowy, w których przedsiębiorstwo powierza dane klientowi będą wyjątkowo rzadkie. Oczywiście może ich wymagać specyfika branży, ale nie będzie to popularne rozwiązanie.

Czy warto skorzystać z dostępnych w sieci szablonów do umów?

W przeciwieństwie do zasad Polityki Bezpieczeństwa czy Instrukcji Zarządzania Systemami Informatycznymi, które mają bardzo indywidualny charakter, umowy powierzenia mogą być dosyć ogólne.
Przedsiębiorstwa zawierające jedynie standardowe umowy dotyczące danych osobowych (np. związane z zewnętrznymi usługami księgowymi, kadrowymi i ubezpieczeniowymi) mogą swobodnie skorzystać z dostępnych szablonów.
Bardzo możliwe też, że wyspecjalizowani dostawcy usług tacy jak spółki ubezpieczeniowe będą mieli po 25 maja własne szablony dla swoich klientów.

Zastrzeżenia umowne

Powierzając dane należy zastrzec cel w jakim mogą one być przetwarzane przez kontrahenta. Nie można określić tego celu szerzej niż wskazują na to uprawnienia jakie ma powierzający.
Przykładowo jeśli pan Zenon Zetowski udostępnił swoje dane firmie XyZ dla potrzeb wykonania zamówienia, to firma XyZ nie może udostępnić ich przedsiębiorstwu kurierskiemu w celach marketingowych.

RODO – Zarys zagadnienia.

Upoważnienie pracownika do przetwarzania danych osobowych w małej firmie

Artykuł ten jest częścią większego cyklu poświęconego ochronie danych osobowych.

Upoważnienie pracownika do przetwarzania danych osobowych w małej firmie

By pracownik mógł przetwarzać dane osobowe, Administrator Danych Osobowych musi go do tego upoważnić. Odpowiednie upoważnienie do przetwarzania danych osobowych w myśl nowych przepisów o ochronie danych osobowych jest niezbędne w stosunku do większości pracowników.

Komu należy wystawić upoważnienie?

Małe przedsiębiorstwa mają często niski stopień specjalizacji pracowników. Oznacza to, że potencjalnie każda osoba w firmie może zostać poproszona o pomoc w danym zadaniu. Z tego powodu najlepiej wystawić upoważnienie dosłownie wszystkim, ewentualnie tylko zawęzić jego zakres.

Upoważnienie jest na pewno niezbędne do:

  • Wszelkich spraw kadrowych – z zasady dotyczą one danych pracowników.
  • Sprzedaży jeśli sprzedawca ma styczność z danymi klienta – np. telemarketer zna zazwyczaj imię, nazwisko i nr telefonu klienta; a przedstawiciel handlowy nawet jego adres.
  • Pełnienia stanowiska kierowniczego – przełożeni zawsze mają dostęp do części danych podwładnych.
  • Obsługi klienta – prawie na pewno pracownik ma dostęp do podstawowych danych.
  • Wysyłania listów, nadawania paczek i przesyłek – jeśli na paczce są dane klienta takie jak adres, imię, nazwisko.
  • Ochrony i nadzoru – nagranie z monitoringu zawiera dane osobowe takie jak wygląd osoby, po którym można ją zidentyfikować i miejsce pobytu w danym czasie.
  • Analizy i obróbki baz danych jeśli te zawierają dane osobowe.
  • Obsługi CRM – praktycznie zawsze w danych systemu są dane osobowe klientów.
  • Umawiania spotkań, pracy sekretariatu, recepcji itp.

Tak naprawdę trudno wyobrazić sobie pracownika biurowego w małej firmie, który nie ma styczności z danymi osobowymi. Upoważnień można więc nie wystawiać np. szeregowym pracownikom ekipy budowlanej lub sprzątającej.

Komu można wystawić upoważnienie?

Upoważnienie do przetwarzania danych osobowych nie jest związane z umową o pracę. Można wystawić je także dla:

  • praktykantów;
  • wykonawców dzieł;
  • zleceniobiorców.

Osobom prowadzącym własną działalność (np. samozatrudnienie) przekazuje się dane na podstawie umowy powierzenia danych osobowych.

Co musi znaleźć się w upoważnieniu?

Wystawiając upoważnienie do przetwarzania danych osobowych, trzeba w nim zawrzeć – oczywiście dane osobowe. A tak na poważnie, dokument taki powinien zawierać:
Informacje o tym kto powierza dane,
Imię i nazwisko osoby, która otrzymuje upoważnienie,
Cel przetwarzania danych – można go określić bardzo ogólnie, np. w celu wykonywania obowiązków na stanowisku starszego specjalisty ds. jakości,
Datę od kiedy upoważnienie jest ważne;
Zakres danych, które pracownik ma prawo przetwarzać.
Dokument taki powinien być ponadto podpisany przez osobę uprawnioną do nadania upoważnienia.

Ewidencja osób upoważnionych

Każdy pracodawca jest zobowiązany prowadzić Ewidencję osób upoważnionych do przetwarzania danych osobowych. Jako, że nie ma wymagań co do jej formy, najlepiej utworzyć plik dostępny jedynie dla ADO i ABI, a w nim zamieścić tabelkę obejmującą imiona, nazwiska i zakres upoważnienia.

RODO – Zarys zagadnienia.