Znakomita większość firm przetwarzających dane osobowe wdrożyła już odpowiednią dokumentację oraz przyjęła procedury bezpieczeństwa zapewniające poufność informacji przetwarzanych o swoich: klientach, kontrahentach czy podwykonawcach. Wzrosła także wiedza oraz świadomość społeczeństwa dotycząca zarówno konieczności weryfikacji miejsc, do których przekazujemy swoje dane osobowe, jak i przysługujących nam praw związanych z ich przetwarzaniem. Pomimo tego, iż jak wydawać by się mogło społeczeństwo, a w szczególności osoby wdrażające RODO w swoich przedsiębiorstwach, posiadły już wysoki poziom wiedzy, to przeglądając fora internetowe zrzeszające kręgi osób zainteresowanych prawidłowym wypełnianiem obowiązków wynikających z RODO natrafić można na wiele kwestii spornych.

Jednym z tematów stanowiących kość niezgody użytkowników forów, wywołujących nierzadko spory sięgające kilkunastu stron, jest konieczność podpisywania umowy z firmą sprzątającą. Jak to w tego typu sprawach bywa, uczestnicy sporu dzielą się na tych, którzy uważają, że nie ma podstaw do jej podpisywania oraz tych wyznających zasadę podpisywania umowy powierzenia w przypadku każdej współpracy. W celu rozwiązania powyższego sporu należy wziąć pod lupę charakter takiej współpracy oraz obowiązujące przepisy.

Aby przygotować pracodawców pełniących obowiązki administratorów danych, nasz sklep oferuje wzorcowe umowy powierzenia przetwarzania danych osobowych zgodne z RODO, opracowane przez radcę prawnego oraz Inspektora Ochrony Danych z wieloletnim doświadczeniem. Kupując nasze produkty ochrony danych osobowych masz pewność że spełniają one wymagania rozporządzenia RODO.

Kup gotową umowę powierzenia

Dostęp do danych osobowych – umowa z firmą sprzątającą a RODO

Oczywistym wydaje się być to, że w przypadku podpisywania umowy z firmą świadczącą usługi sprzątania nie ma konieczności przekazywania większej liczby danych niż: imię i nazwisko wraz ze służbowym numerem telefonu czy adresem e-mail osób wyznaczonych do realizacji postanowień wynikających ze współpracy (w takim przypadku firma sprzątająca staje się ich osobnym administratorem). Jednak jednym z głównych argumentów podnoszonych przez zwolenników umów powierzenia, w przypadku firm sprzątających jest potencjalny dostęp osób spoza naszej organizacji do danych osobowych znajdujących się w pomieszczeniach naszych przedsiębiorstw. Jest to rzeczywiście kwestia mieszcząca się w zasięgu rozważań na temat bezpieczeństwa danych osobowych, aczkolwiek sposoby jej rozwiązania wychodzą poza zawieranie umowy powierzenia i polegają w szczególności na: podpisaniu odpowiednich klauzul poufności, zabezpieczaniu dokumentacji poprzez zamknięcie jej w szafie / szufladzie, stosowanie polityk: czystego biurka, ekranu, drukarki czy kluczy bądź w przypadku, gdy istnieje taka możliwość, sprawowanie nadzoru nad osobą sprzątającą.

umowa powierzenia firma sprzątająca

Usługi sprzątania nie wymagają przetwarzania danych

Jak wynika z art. 28 ust. 1 RODO, z powierzeniem przetwarzania danych osobowych mamy do czynienia, gdy przetwarzanie danych osobowych jest dokonywane przez zewnętrzny podmiot w imieniu administratora, w celach określonych przez administratora i zgodnie z jego poleceniami i instrukcjami. Natomiast usługi sprzątania powierzchni danego obiektu (np. uczelni, biura) trudno zaliczyć do usług związanych z przetwarzaniem danych osobowych. Należy zatem przyjąć, że co do zasady usługi takie nie wymagają powierzenia przetwarzania danych osobowych.

Niemniej w przypadku korzystania przez administratora z takich usług (jak i innych usług wymagających dostępu do pomieszczeń administratora, w których przetwarzane są dane osobowe) – konieczne może się okazać zastosowanie odpowiednich środków technicznych i organizacyjnych, których celem będzie zapewnienie odpowiedniej ochrony danych osobowych, w tym przed nieuprawnionym ujawnieniem danych osobowych.

Administrator powinien bowiem analizować ryzyko związane z przetwarzaniem danych i podejmować środki, które będą je minimalizować. Działania te powinny dotyczyć zarówno pracowników administratora, jak i podmiotu zewnętrznego. Powinny one polegać m.in. na wprowadzeniu odpowiednich procedur i zadbanie o ich skuteczne wdrożenie i realizowanie przez cały cykl przetwarzania danych (art. 24 RODO, art. 32 RODO). W procedurach tych warto też przewidzieć, iż mogą zdarzyć się sytuacje, w których pracownicy firmy sprzątającej znajdą określony dokument lub inny nośnik zawierający dane osobowe. Jednocześnie w umowie z firmą sprzątającą należy określić sposób postępowania w takiej sytuacji oraz obowiązki pracownika, który uzyskał przypadkowy dostęp do danych osobowych.

Umowa powierzenia – przetwarzanie danych osobowych

Wiele pomocnych wskazówek dotyczących powierzenia przetwarzania danych osobowych znaleźć można w Wytycznych Europejskiej Rady Ochrony Danych w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO.

W wyżej wymienionych wytycznych wskazuje się, że przetwarzanie danych osobowych w imieniu administratora wymaga przede wszystkim, aby odrębny podmiot przetwarzał dane osobowe na rzecz administratora. W art. 4 ust. 2 przetwarzanie definiuje się jako pojęcie obejmujące szeroki zakres operacji, począwszy od zbierania, przechowywania i konsultacji po wykorzystywanie, rozpowszechnianie lub udostępnianie i niszczenie w inny sposób.

Ochrona danych w praktyce

W rozdziale dotyczącym pojęcia „osoby trzeciej” podany jest przykład związany z usługami sprzątania:

„Przedsiębiorstwo A zawiera umowę z firmą sprzątającą na sprzątanie swoich biur. Pracownicy sprzątający zgodnie z umową mają zakaz uzyskiwania dostępu do danych osobowych lub ich przetwarzania w inny sposób. Nawet jeśli mogą oni czasami natknąć się na takie dane podczas poruszania się po biurze, mogą wykonywać swoje zadania bez dostępu do danych. Osoby sprzątające nie są zatrudnione przez przedsiębiorstwo A ani nie są postrzegane jako podlegające bezpośredniemu zwierzchnictwu tej spółki. Przedsiębiorstwo A nie ma zamiaru angażować firmy sprzątającej ani jej pracowników w przetwarzanie danych osobowych. Firmę świadczącą usługi sprzątania i jej pracowników należy zatem postrzegać jako osobę trzecią, a administrator musi upewnić się, że istnieją odpowiednie środki bezpieczeństwa, aby uniemożliwić tej firmie i jej pracownikom dostęp do danych, oraz ustanowić obowiązek zachowania poufności w przypadku przypadkowego natknięcia się na dane osobowe.”

Wymogi ochrony danych osobowych

Mając powyższe na uwadze, zasadnym wydaje się być stwierdzenie, iż umowa powierzenia danych osobowych pomiędzy administratorem a podmiotem przetwarzającym świadczącym „usługi porządkowe” w dużej części nie będzie obowiązywała, ponieważ jej zapisy dotyczą danych osobowych, które w tym przypadku nie będą powierzane.

Przedsiębiorca zastanawiający się w jaki sposób sprostać wymogom dotyczących ochrony danych osobowych w związku z podjęciem współpracy z firmą sprzątającą powinien zwrócić szczególną uwagę na: wprowadzenie odpowiednich polityk związanych z zabezpieczeniem pomieszczeń czy użytkowania kluczy, weryfikację renomy firmy, odpowiednio zabezpieczyć pomieszczenia oraz dokumentację oraz wdrożyć odpowiednie zapisy dotyczące poufności i zachowania w tajemnicy informacji przez pracowników firmy sprzątającej.

BHPEX oferuje kompleksowe usługi w zakresie ochrony danych osobowych.

Zapraszamy do kontaktu. Tel. 68 411 40 46.