Czy z zewnętrznym IOD wykonującym zadania dla banku należy zawrzeć umowę powierzenia?

Czy w przypadku, gdybyśmy zdecydowali się na zawarcie umowy na świadczenie usługi Inspektora Ochrony Danych w banku przez podmiot zewnętrzny, należy również zawrzeć umowę powierzenia przetwarzania danych z tym podmiotem?

W przypadku gdy administratorem jest bank, w pierwszej kolejności należy mieć na uwadze, że prawidłowe wykonywanie zadań przez IOD wiąże się z zapewnieniem mu dostępu do danych objętych tajemnicą bankową. Zgodnie z RODO, administrator zobowiązany jest zapewnić, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Musi on również wspierać inspektora ochrony danych w wypełnianiu przez niego zadań, o których mowa w art. 39, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania (art. 38 ust. 1 i 2 RODO).

A zatem do prawidłowego wykonywania zadań IOD niezbędny jest dostęp do informacji dotyczących przetwarzania danych osobowych, do samych danych osobowych, jak i operacji przetwarzania. Dlatego też warto rozważyć, czy najlepszym rozwiązaniem nie byłoby wyznaczenie do pełnienia funkcji IOD pracownika banku. Jeśli miałaby to być osoba wykonująca obowiązki na podstawie umowy o świadczenie usług, to do umowy takiej zastosowanie powinien mieć art. 6a ust. 1 pkt 2 ustawy Prawo bankowe który umożliwi zapoznanie się przez IOD z informacjami objętymi tajemnicą bankową. Jak wskazuje bowiem art. 104 ust. 2 pkt 2 lit. a Prawa bankowego, obowiązek zachowania tajemnicy bankowej, o którym mowa w art. 104 ust. 1 Prawa bankowego, nie dotyczy przypadków, w których bank, zgodnie z art. 6a ust. 1 i art. 6b-6d, powierzył wykonywanie, stale lub okresowo, czynności związanych z działalnością bankową. Przy czym podmioty oraz osoby w nich zatrudnione, którym, zgodnie z m.in. przepisem art. 104 ust. 2 pkt 2 lit. a Prawa bankowego udzielono lub ujawniono informacje objęte tajemnicą bankową, mogą wykorzystać te informacje wyłącznie w celu zawarcia i wykonania umów, o których mowa m.in. w ust. 2 pkt 2 lit. a Prawa bankowego (art. 104 ust. 5 Prawa bankowego). Ponadto zgodnie art. 38 ust. 5 RODO, inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań zgodnie z prawem Unii lub prawem państwa członkowskiego.

Wykonywanie zadań IOD przez osobę, która nie jest członkiem personelu administratora, powinno następować na podstawie umowy o świadczenie usług niebędącej umową powierzenia danych. Art. 37 ust. 6 RODO wskazuje wprost, iż inspektor ochrony danych może wykonywać swoje zadania na podstawie umowy o świadczenie usług, czyli nie musi być on pracownikiem administratora (banku). Dopuszczalny jest zatem outsourcing tej funkcji, przy czym przedmiotem umowy z inspektorem nie są zadania administratora, a zadania wskazane w art. 39 ust. 1 RODO. Szerzej na ten temat pisaliśmy na naszej stronie w zakładce Inspektor Ochrony Danych/Wyznaczenie i status IOD, w odpowiedzi na pytanie Czy z zewnętrznym IOD należy zawrzeć umowę powierzenia?.