Z inspektorami ochrony danych nie należy zawierać umowy powierzenia.

Z inspektorami ochrony danych nie należy zawierać umowy powierzenia.

Bardzo często stosowanym rozwiązaniem w umowach pomiędzy administratorami danych a inspektorami ochrony danych jest zawieranie w umowie o współpracy postanowienia, które wprost odnosi się do ustalonej w art. 28 RODO relacji powierzenia przetwarzania. Dotyczy to w szczególności współpracy z zewnętrznymi IODO na zasadzie outsourcingu – tzn. gdy IODO nie jest pracownikiem ADO, a formalnie stanowi o zewnętrzny podmiot. Jest to jednak błąd – uformowanie relacji pomiędzy ADO a IODO jako relacja powierzenia przetwarzania będzie wprost naruszało zasadę niezależności IODO.

Istotnym elementem umowy powierzenia jest działanie na podstawie poleceń administratora – natomiast art. 38 ust. 3 RODO wprost stanowi, że „Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań”.

Ponadto, obligatoryjnym elementem umowy powierzenia przetwarzania jest możliwość wykonywania inspekcji i audytów u procesora – w tym przypadku procesorem byłby IODO, oznaczałoby to, że odwrócenie kierunku, w jakim kontrola przestrzegania przepisów o ochronie danych osobowych miałaby się odbywać (to IODO ma kontrolować ADO, nie zaś odwrotnie).

Należy też pamiętać, że w niektórych sytuacjach rolą IODO będzie zapewnienie poufności osobom, które się do niego zgłaszają (osoby, których dane są przetwarzane mogą kontaktować się z IODO jako punktem kontaktowym ADO, ale także niezależnie, z samym IODO) – przy ewentualnej kontroli zgodności przetwarzania danych przez IODO (wykonywanej przez ADO) mogłoby dojść do naruszenia poufności w tym zakresie.

Tak podkreślany w art. 28 RODO wymóg stosowania odpowiednich zabezpieczeń powinien stanowić jedno z głównych kryteriów wyboru IODO – a dodatkowo, same zabezpieczenia organizacyjne i techniczne stosowane przez IODO mogą, a wręcz powinny być wpisane do umowy – ale nie należy tego utożsamiać z rolą procesora w rozumieniu tego przepisu.

Skoro nie umowa powierzenia…

Podobnie, nie należy przy rozpoczynaniu współpracy z IODO stosować upoważnienia do przetwarzania danych osobowych, o jakim mowa w art. 29 RODO. Oczywiście zakres obowiązków IODO będzie wynikał – bądź z samej umowy, bądź z konkretnego, odrębnego aktu wyznaczającego – ale nie należy takiego ustalenia zakresu obowiązków utożsamiać z działaniem na podstawie instrukcji i poleceń administratora.

Inspektor ochrony danych nie jest ani podmiotem przetwarzającym w rozumieniu art. 28 RODO, ani osobą upoważnioną do przetwarzania przez ADO – uprawnienie do dostępu do danych osobowych przetwarzanych przez ADO wynika z mocy samego prawa, a dokładnie z art. 38 ust. 1-2 RODO (obowiązek włączania w sprawy dotyczące ochrony danych osobowych oraz obowiązek dostępu do danych i operacji przetwarzania). Można więc stwierdzić, że IODO jest odrębną kategorią podmiotu uprawnionego od odstępu do danych osobowych – któremu bliżej do odrębnego ADO/odbiorcy (z uwagi na niezależność) niż do procesora z art. 28 lub osoby upoważnionej przez ADO w trybie art. 29 RODO.

Dodaj komentarz