Konieczność zawarcia umowy powierzenia z firmą sprzątającą według UODO

Urząd Ochrony Danych Osobowych opublikował stanowisko odnośnie tego, czy administrator danych powinien zawierać z firmą sprzątającą umowę powierzenia. UODO ustosunkował się do pytania inspektora ochrony danych, który jako stan faktyczny przytoczył sytuację, w której dochodzi do przypadkowego kontaktu z danymi osobowymi przetwarzanymi u administratora podczas wykonywania usług sprzątania.

Z powierzeniem przetwarzania danych osobowych mamy do czynienia, gdy przetwarzanie danych osobowych jest dokonywane przez zewnętrzny podmiot w imieniu administratora, w celach określonych przez administratora i zgodnie z jego poleceniami i instrukcjami.

Podejście do tematu zależy od charakteru świadczonych usług, od tego, jaki jest zakres usług świadczonych przez zewnętrzną firmę sprzątającą, tj. czy usługi te obejmują obok usług porządkowych również np. niszczenie dokumentów lub inne działania, które wymagają dostępu do dokumentów lub innych nośników zawierających dane osobowe.

Usług sprzątania danego obiektu nie zalicza się do usług związanych z przetwarzaniem danych osobowych. Nie dochodzi tu do zbierania, przechowywania lub udostępniania danych na rzecz administratora, zatem takie usługi nie wymagają powierzenia przetwarzania danych osobowych.

W przypadku korzystania przez administratora z takich usług (jak i innych usług wymagających dostępu do pomieszczeń administratora, w których przetwarzane są dane osobowe) może okazać się konieczne zastosowanie odpowiednich środków technicznych i organizacyjnych, których celem będzie zapewnienie odpowiedniej ochrony danych osobowych, w tym przed nieuprawnionym ujawnieniem danych osobowych. Powinny one polegać m.in. na wprowadzeniu odpowiednich procedur i zadbaniu o ich skuteczne wdrożenie i realizowanie przez cały cykl przetwarzania danych. W procedurach tych powinno przewidzieć się, iż mogą zdarzyć się sytuacje, w których pracownicy firmy sprzątającej natkną się na określony dokument lub inny nośnik zawierający dane osobowe. Jednocześnie w umowie z firmą sprzątającą należy określić sposób postępowania w takiej sytuacji oraz obowiązki pracownika, który uzyskał przypadkowy dostęp do danych osobowych.

Firmę świadczącą usługi sprzątania i jej pracowników należy zatem postrzegać jako osobę trzecią, a administrator musi upewnić się, że istnieją odpowiednie środki bezpieczeństwa, aby uniemożliwić tej firmie i jej pracownikom dostęp do danych oraz ustanowić obowiązek zachowania poufności w przypadku przypadkowego natknięcia się na dane osobowe.