Czy w przypadku świadczenia usług wsparcia IT (support) przez pracowników firmy IT u innego przedsiębiorcy zajdzie potrzeba zawarcia pomiędzy stronami umowy powierzenia przetwarzania danych?

0

minut

46

wyświetleń

25 mar 2022

W przypadku, gdy pracownicy IT innej firmy będą świadczyli usługi wsparcia informatycznego lub też inne usługi z zakresu outsourcingu IT zaistnieje potrzeba zawarcia umowy powierzenia pomiędzy podmiotami – tu przedsiębiorca korzystający z rozwiązania IT (Firma A) podpisze umowę powierzenia z firmą, której pracownicy będą świadczyć usługę wsparcia (Firma B) i w ramach jej świadczenia otrzymają dostęp do zasobów zawierających dane osobowe w Firmie A. Firma A jako administrator danych osobowych decyduje o celach i sposobach przetwarzania danych wykorzystując określone narzędzia informatyczne, a Firma B będzie dokonywała określonych w umowie prac (tu wsparcie IT dla systemu/baz danych/serwerów) na wyraźne polecenie Firmy A realizując jej cel. Warto zwrócić uwagę, że możliwe są takie konstrukcje jak np.:

  • umowa główna zawierająca elementy wynikające z art. 28 RODO, która spełni rolę powierzenia przetwarzania danych osobowych,
  • umowa powierzenia, w której zawarto postanowienia wypełniające wymogi prawne w zakresie powierzenia oraz zawarto w niej postanowienia umowy głównej.

Częstą praktyką wśród dostawców rozwiązań informatycznych pełniących rolę podmiotów przetwarzających jest przekazywanie administratorom gotowych, ustandaryzowanych wzorów umów powierzenia. Z jednej strony to dobre rozwiązanie, bo może ułatwiać zawarcie umowy, jednak z drugiej może rodzić pewne problemy. Dobrą praktyką jest każdorazowa analiza postanowień takich umów i w miarę możliwości faktycznych wnoszenie swoich uwag. Istotna jest także weryfikacja podmiotu przetwarzającego oraz tego czy zapewnia on odpowiedni poziom bezpieczeństwa powierzanych mu do przetwarzania danych osobowych, a także na ile wypełnia zasady określone w przepisach Rozporządzenia 2016/679. Warto też zaznaczyć, że brak zawarcia umowy powierzenia w sytuacji, gdy jest ona wymagana (naruszenie art. 28 ust 3 RODO) może rodzić konsekwencje w postaci administracyjnej kary pieniężnej zgodnie z art. 83 ust. 4 lit. a RODO zgodnie z art. 83 ust. 2 RODO.

Odpowiedzi udziela

author
Kamil Wojciechowski - Forsafe

Mgr prawa ochrony danych osobowych WPiA UŁ, inż. informatyki PŁ, członek ISSA Polska, IA 9001, MCTS. Od wielu lat związany z IT oraz ochroną danych osobowych w aspekcie teoretycznym i praktycznym.

www.forsafe.pl
zadaj pytanie