Pomiń nawigację

28 kwietnia 2022 r.

Pytanie nr 7: Czy z Inspektorem Ochrony Danych należy zawrzeć umowę powierzenia przetwarzania danych

Nasza firma zamierza skorzystać z usług inspektora ochrony danych. Czy jeżeli nie wyznaczymy na to stanowisko naszego pracownika, to z podmiotem zewnętrznym powinniśmy zawrzeć umowę powierzenia przetwarzania danych?

Odpowiedź:

Nie, z zewnętrznym inspektorem ochrony danych (IOD) nie zawiera się umowy powierzenia przetwarzania danych. Nie jest on bowiem podmiotem przetwarzającym (procesorem) w rozumieniu art. 4 pkt 8) RODO. Nie byłby nim tym bardziej IOD, który byłby zatrudniony w przedsiębiorstwie. Z inspektorem zewnętrznym należy zawrzeć umowę o świadczenie usług, co wynika wprost z treści art. 37 ust. 6 RODO. Nie będzie to jednak umowa powierzenia przetwarzania.

Uzasadniając powyższą odpowiedź warto przypomnieć, iż procesor przetwarza dane osobowe w imieniu oraz na zlecenie administratora (przedsiębiorstwa). Jest przy tym zobowiązany do stosowania się do instrukcji dotyczących celów i sposobów przetwarzania, które otrzymuje od administratora, czyli jest niejako realizatorem jego zamierzeń.

Zupełnie inną rolę odgrywa IOD. Zgodnie z art. 38 ust. 3 RODO administrator musi zapewnić m. in to, że inspektor nie będzie otrzymywał instrukcji dotyczących wykonywania swoich zadań oraz że nie będzie odwoływany ani karany za ich wypełnianie. Zadania Inspektora zostały wskazane w art. 39 ust. 1 RODO. Należy do nich np. informowanie administratora i jego pracowników o ich obowiązkach wynikających z przepisów dotyczących ochrony danych osobowych, monitorowanie przestrzegania wspomnianych regulacji oraz współpraca z Urzędem Ochrony Danych Osobowych. Mówiąc kolokwialnie – niezależność inspektora jest zatem niejako wdrukowana w rolę, którą pełni w systemie ochrony danych osobowych. Wskazanych zadań w żadnym wypadku nie realizuje procesor.

Warto dodać, że, zgodnie ze stanowiskiem Urzędu Ochrony Danych Osobowych, jest uzasadnione wydanie zewnętrznemu inspektorowi upoważnienia do przetwarzania danych.

Podstawa prawna:

  • Art. 4 pkt 8) ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
  • Art. 37 ust. 6) ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
  • Art. 38 ust. 3) ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

RODO w firmie – zobacz odpowiedzi na pozostałe najczęściej zadawane pytania

Opublikowano: 28.04.2022 09:59
Poprawiono: 28.04.2022 10:36
Modyfikujący: Eryk Rutkowski
Udostępniający: Eryk Rutkowski
Autor dokumentów: