Czy z zewnętrznym IOD należy zawrzeć umowę powierzenia?

Z uwagi na liczne różne interpretacje  prawne,  zwracam się z prośbą o wyjaśnienie na stronie UODO  następującej kwestii, czy w przypadku zawierania umowy z zewnętrznym inspektorem ochrony danych należy posłużyć się konstrukcją powierzenia przetwarzania danych określoną w art. 28 RODO?

Wykonywanie zadań IOD przez osobę, która nie jest członkiem personelu administratora powinno następować na podstawie umowy o świadczenie usług niebędącej umową powierzenia danych.

Art. 37 ust. 6 RODO wskazuje wprost, iż inspektor ochrony danych może wykonywać swoje zadania na podstawie umowy o świadczenie usług, czyli nie musi być on pracownikiem administratora. Dopuszczalny jest zatem outsourcing tej funkcji, przy czym przedmiotem umowy z inspektorem nie są zadania administratora, a zadania wskazane w art. 39 ust. 1 RODO.

Umowa o świadczenie usług, której przedmiotem jest wykonywanie zadań IOD nie będzie umową powierzenia przetwarzania. Konieczność zawarcia umowy powierzenia przetwarzania danych osobowych istnieje wówczas, gdy administrator w celu realizacji swoich celów (zadań) związanych z przetwarzaniem danych posługuje się innym, zewnętrznym podmiotem. Innymi słowy powierzenie przetwarzania powinno mieć miejsce w przypadkach, gdy administrator prowadzący działalność w określonej dziedzinie, ma potrzebę skorzystać z pomocy zewnętrznych specjalistów, których usługi będą miały charakter pomocniczy, nierzadko techniczny, wspierający działalność główną administratora. Podmiot przetwarzający jest zobowiązany do stosowania się do instrukcji przekazanych przez administratora co najmniej w odniesieniu do celu przetwarzania oraz istotnych elementów sposobu przetwarzania. Najczęściej występujące przykładowe usługi świadczone w modelu powierzenia wskazujemy w Poradniku Wskazówki i wyjaśnienia dotyczące obowiązku z art. 30 ust. 1 i 2 RODO jako:

• przechowywanie danych klienta (administratora) rozumiane jako udostępnienie zamawiającemu określonej przestrzeni dyskowej w infrastrukturze przetwarzającego na przechowywanie danych, którymi zlecający (administrator) sam zarządza i decyduje o tym, jakie dane tam przechowuje – np. wykonuje kopie zapasowe danych elektronicznych;
• udostępnianie klientowi (administratorowi) mocy obliczeniowej procesorów, przestrzeni pamięci operacyjnej i dyskowej lub innych usług na potrzeby instalacji i eksploatacji usług przetwarzania, którymi zamawiający w pełni zarządza – dostarczanie infrastruktury informatycznej;
• udostępnienie klientowi (administratorowi) określonej platformy programistycznej (np. serwera www wraz z odpowiednim oprogramowaniem do prowadzenia własnej strony internetowej);
• wykonywanie na zamówienie klienta (zamawiającego) określonych usługi w zakresie konfiguracji sprzętowej, programowej, w tym zabezpieczeń udostępnionych mu serwerów, innych urządzeń komputerowych oraz oprogramowania – usługi administracyjne i konserwacyjne;
• wykonywanie na zamówienie klienta (zamawiającego) usług programistycznych, w tym aktualizacji oprogramowania na okoliczność zmieniających się przepisów prawnych lub wymagań klienta – usługi programistyczne itp.
• samo przechowywanie dokumentacji podatkowej, księgowej, kadrowej i medycznej;
• prowadzenie dokumentacji podatkowej, księgowej, kadrowej;
• archiwizacja danych elektronicznych;
• skanowanie i digitalizacja danych;
• niszczenie nośników informacji.

Inne przykłady przypadków uzasadniających skorzystanie z konstrukcji powierzenia przetwarzania danych można znaleźć np. w odpowiedzi na pytanie: Czy Centra Usług Wspólnych mogą powołać jednego IOD dla wszystkich obsługiwanych jednostek? Czy świadczenie usługi kolokacji implikuje konieczność zawarcia umowy powierzenia? (Newsletter UODO dla IOD Wydanie 3 (marzec 2020, str. 5)

Natomiast przedmiotem umowy o świadczenie usług, o której mowa w art. 37 ust. 6 RODO, powinny być zadania wskazane w art. 39 ust. 1 RODO, realizowane przy spełnieniu warunków określonych w przepisach tego aktu, w sposób gwarantujący inspektorowi niezależność. Administrator i podmiot przetwarzający mają m.in. obowiązek zapewnić, aby inspektor nie otrzymywał instrukcji dotyczących wykonywania swoich zadań (art. 38 ust 4 RODO).

Dostęp do danych osobowych niezbędnych (zewnętrznemu) IOD do wykonywania jego zadań wynika z przepisów prawa. Art. 38 ust. 2 RODO stanowi, że administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych w wypełnianiu przez niego zadań, o których mowa w art. 39, zapewniając mu m.in. dostęp do danych osobowych i operacji przetwarzania. W kontekście dostępu do danych należy podkreślić, że ust. 5 ww. tego artykułu zobowiązuje IOD do zachowania tajemnicy lub poufności co do wykonywania swoich zadań - zgodnie z prawem Unii lub prawem państwa członkowskiego.

W kontekście przedstawionego zagadnienia warto pamiętać, że możliwość wykonywania przez osobę, z którą zawierana jest umowa o świadczenie usług, zadań innych niż określone w RODO ograniczona jest zakazem występowania w tym zakresie konfliktu interesów (art. 38 ust. 6 RODO).

Warto również nadmienić, że Grupa Robocza art. 29 w  Wytycznych dotyczących inspektorów ochrony danych (WP 243) podkreśla, że w przypadku gdy funkcję IOD pełni osoba spoza organizacji administratora- biorąc pod uwagę fakt, iż IOD posiada wiele zadań - administrator albo podmiot przetwarzający musi mieć pewność, że jeden IOD, z zespołem, jeśli jest to niezbędne, pozytywnie wypełni swoje obowiązki pomimo wyznaczenia go dla kilku podmiotów i organów publicznych (str. 11 – 12 Wytycznych). W odpowiedzi na pytanie Czy podmioty publiczne mogą powołać jednego IOD poza sytuacją uregulowaną w art. 37 ust. 3 RODO? wyjaśniamy, że skorzystanie z rozwiązania określonego  w art. 37 ust. 3 RODO wymaga dokonania starannej analizy, czy wyznaczona osoba będzie w stanie prawidłowo wypełniać wszystkie swoje obowiązki wobec każdego administratora danych. Trzeba mieć przy tym świadomość, że wiele z obowiązków inspektorów przewidzianych w RODO wymaga stałego zaangażowania na rzecz administratora, który inspektora wyznaczył oraz  tzw. „efektywnej dostępności” inspektora dla osób z danej organizacji.