Umowa powierzenia danych osobowych w małej firmie

Artykuł ten jest częścią większego cyklu poświęconego ochronie danych osobowych.

Umowa powierzenia danych osobowych w małej firmie

Bardzo często dane osobowe nie tylko przechowuje się i przetwarza w ramach działalności gospodarczej, ale też udostępnia podmiotom trzecim. Przepisy wymagają by w każdym takim przypadku zawrzeć umowę powierzenia danych osobowych.

Co powoduje konieczność zawarcia umowy dotyczącej powierzenia danych osobowych?

Zasadniczo kiedy firma przekazuje dane osobowe innej osobie prawnej (innej firmie, organizacji, jednostce samorządu terytorialnego) powinna z nią zawrzeć Umowę powierzenia danych osobowych.
Próba dostosowania się do tego przepisu w wersji nie-zawężonej szybko doprowadzi jednak do całkowitego paraliżu przedsiębiorstwa. Dlaczego? Wyjaśniamy w przykładzie 1.
Przykład 1.

Pani Ola Igrekowska jest przedstawicielem handlowym. Sekretarka umówiła jej spotkanie i prezentację usług informatycznych w siedzibie firmy XyZ. W wiadomości email znalazły się następujące informacje: imię i nazwisko Pani Oli, jej telefon, zakres godzinowy spotkania. Dla potrzeb ochrony budynku XyZ, sekretarka dodała, że Pani Ola podjedzie niebieskim, służbowym Fordem.

Gdzie tu przekazanie danych osobowych? Wszędzie. Tylko na podstawie tego maila można dowiedzieć się, że znana z imienia i nazwiska osoba w danych godzinach będzie w danej lokalizacji. Wystarczy by np.:
– Porwać Panią Olę zanim dojedzie do siedziby XyZ, lub gdy ją opuści.
– Okraść mieszkanie Pani Oli, wiedząc, że w danych godzinach nie ma jej w domu.
Powyższy przykład z jednej strony pokazuje, że niemal każde dane są zarówno danymi osobowymi w rozumieniu RODO, jak i istotnymi informacjami osobistymi w rozumieniu potocznym.
Z drugiej jednak strony Przykład 1 wskazuje na praktyczną niemożliwość zawarcia umów powierzenia danych osobowych z każdą firmą, której się je przekazuje.

W powyższym przykładzie, Pani Ola, która jest przedstawicielem handlowym może mieć umówionych po 5 spotkań dziennie, każde z inną firmą. Samo zawarcie odpowiednich umów powierzenia danych całkowicie sparaliżowałoby jej pracę. Po za tym firma otrzymująca dane tak czy inaczej będzie je chronić by nie złamać przepisów o tajemnicy handlowej.

Z tego względu wydaje się zasadne ograniczenie umów jedynie do przypadków przekazania zbiorów danych osobowych, lub danych szczególnie wrażliwych.
Dobrymi przykładami są na przykład:
– Przekazanie dokumentacji dotyczącej zatrudnienia zewnętrznej firmie księgowej lub kadrowej;
– Przekazanie wyników badań pracowników zewnętrznej firmie ubezpieczeniowej;
– Przekazanie listy uczestników i dodatkowych wymagań związanych z nimi, firmie organizującej wyjazd integracyjny.
– Przekazanie bazy klientów firmie, która podjęła się pośrednictwa w sprzedaży.

W jaki sposób zawierana jest umowa powierzenia danych osobowych?

W umowie dotyczącej powierzenia danych osobowych jedna firma powierza, a druga zobowiązuje się przechowywać i przetwarzać zgodnie z przepisami pewien zbiór danych.

Dla potrzeb dowodowych zdecydowanie lepiej zawrzeć taką umowę na piśmie, nic jednak nie stoi na przeszkodzie zawarciu jej drogą elektroniczną. W praktyce optymalne staje się przygotowanie szablonu umowy powierzenia danych osobowych, w którym będzie się jedynie wypełniało
– Dane firmy/organizacji, której powierza się dane;
– Zakres przekazywanych danych;
– Daty rozpoczęcia i zakończenia umowy;
– Obowiązki firmy, której powierzono dane na wypadek ustania współpracy (np. usunięcie zbiorów).

Z kim zawierać umowy powierzenia danych osobowych?

W praktyce zawieranie umów powierzenia danych osobowych ma sens jedynie z usługodawcami i podwykonawcami.
Nawet jeśli firma przekazuje pewne dane swojemu klientowi, lub potencjalnemu klientowi to niby dlaczego miałby on godzić się na administrowanie danymi?
Umowa jak sama nazwa wskazuje wymaga dobrowolnej zgody dwóch lub więcej stron, więc umowy, w których przedsiębiorstwo powierza dane klientowi będą wyjątkowo rzadkie. Oczywiście może ich wymagać specyfika branży, ale nie będzie to popularne rozwiązanie.

Czy warto skorzystać z dostępnych w sieci szablonów do umów?

W przeciwieństwie do zasad Polityki Bezpieczeństwa czy Instrukcji Zarządzania Systemami Informatycznymi, które mają bardzo indywidualny charakter, umowy powierzenia mogą być dosyć ogólne.
Przedsiębiorstwa zawierające jedynie standardowe umowy dotyczące danych osobowych (np. związane z zewnętrznymi usługami księgowymi, kadrowymi i ubezpieczeniowymi) mogą swobodnie skorzystać z dostępnych szablonów.
Bardzo możliwe też, że wyspecjalizowani dostawcy usług tacy jak spółki ubezpieczeniowe będą mieli po 25 maja własne szablony dla swoich klientów.

Zastrzeżenia umowne

Powierzając dane należy zastrzec cel w jakim mogą one być przetwarzane przez kontrahenta. Nie można określić tego celu szerzej niż wskazują na to uprawnienia jakie ma powierzający.
Przykładowo jeśli pan Zenon Zetowski udostępnił swoje dane firmie XyZ dla potrzeb wykonania zamówienia, to firma XyZ nie może udostępnić ich przedsiębiorstwu kurierskiemu w celach marketingowych.

RODO – Zarys zagadnienia.