Czy w przypadku świadczenia usług wsparcia IT (support) przez pracowników firmy IT u innego przedsiębiorcy zajdzie potrzeba zawarcia pomiędzy stronami umowy powierzenia przetwarzania danych?

W przypadku, gdy pracownicy IT innej firmy będą świadczyli usługi wsparcia informatycznego lub też inne usługi z zakresu outsourcingu IT zaistnieje potrzeba zawarcia umowy powierzenia pomiędzy podmiotami – tu przedsiębiorca korzystający z rozwiązania IT (Firma A) podpisze umowę powierzenia z firmą, której pracownicy będą świadczyć usługę wsparcia (Firma B) i w ramach jej świadczenia otrzymają dostęp do zasobów zawierających dane osobowe w Firmie A. Firma A jako administrator danych osobowych decyduje o celach i sposobach przetwarzania danych wykorzystując określone narzędzia informatyczne, a Firma B będzie dokonywała określonych w umowie prac (tu wsparcie IT dla systemu/baz danych/serwerów) na wyraźne polecenie Firmy A realizując jej cel. Warto zwrócić uwagę, że możliwe są takie konstrukcje jak np.:

• umowa główna zawierająca elementy wynikające z art. 28 RODO, która spełni rolę powierzenia przetwarzania danych osobowych,
• umowa powierzenia, w której zawarto postanowienia wypełniające wymogi prawne w zakresie powierzenia oraz zawarto w niej postanowienia umowy głównej.

Częstą praktyką wśród dostawców rozwiązań informatycznych pełniących rolę podmiotów przetwarzających jest przekazywanie administratorom gotowych, ustandaryzowanych wzorów umów powierzenia. Z jednej strony to dobre rozwiązanie, bo może ułatwiać zawarcie umowy, jednak z drugiej może rodzić pewne problemy. Dobrą praktyką jest każdorazowa analiza postanowień takich umów i w miarę możliwości faktycznych wnoszenie swoich uwag. Istotna jest także weryfikacja podmiotu przetwarzającego oraz tego czy zapewnia on odpowiedni poziom bezpieczeństwa powierzanych mu do przetwarzania danych osobowych, a także na ile wypełnia zasady określone w przepisach Rozporządzenia 2016/679. Warto też zaznaczyć, że brak zawarcia umowy powierzenia w sytuacji, gdy jest ona wymagana (naruszenie art. 28 ust 3 RODO) może rodzić konsekwencje w postaci administracyjnej kary pieniężnej zgodnie z art. 83 ust. 4 lit. a RODO zgodnie z art. 83 ust. 2 RODO.