Jeśli firma zewnętrzna niszczy dokumenty z danymi, musisz podpisać umowę powierzenia

Przedsiębiorstwa zbierają, gromadzą i przetwarzają dane osobowe na szeroką skalę. Bardzo często poza imieniem i nazwiskiem dokumenty zawierają także inne dane osobowe, w tym dane wrażliwe. Większość dokumentów wraz z upływem czasu staje się bezużyteczna, w związku z czym przedsiębiorcy samodzielnie je niszczą albo zlecają to podmiotom zewnętrznym. W umowie z takim podmiotem trzeba zawrzeć postanowienia o powierzeniu danych.

Wiele osób uważa, że dane osobowe należy chronić wówczas, „gdy się z nich korzysta”. Tymczasem pod pojęciem przetwarzania danych należy rozumieć jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie (art. 7 pkt 2 uodo).

Na rynku pojawia się coraz więcej firm, które oferują profesjonalne niszczenie dokumentów. Zanim jednak zdecydujesz się skorzystać z ich usług, zapoznaj się z kilkoma ofertami i wybierz tę, która gwarantuje bezpieczną i zgodną z prawem ich utylizację. Jeśli zlecasz podmiotowi zewnętrznemu niszczenie dokumentów lub usunięcie danych osobowych z elektronicznych nośników, musisz zawrzeć z nim pisemną umowę.

Zlecenie niszczenia dokumentów nie jest klasycznym powierzeniem przetwarzania danych. Celem umowy nie jest bowiem powierzenie danych w określonym celu, jednak trzeba w tym wypadku zastosować przepisy art. 31 uodo. Administratorzy danych zlecając utylizację dokumentów, w umowach pomijają problematykę ochrony danych osobowych. A przecież przekazanie dokumentów, które zawierają dane osobowe, do zniszczenia w świetle uodo jest powierzeniem przetwarzania danych osobowych i musi być uregulowane w umowie (art. 31 uodo).

Jeśli powierzasz dane osobowe, w umowie musisz określić zakres i cel przetwarzania danych osobowych. Poza ogólnymi postanowieniami, które odnoszą się do zlecenia, powinieneś zamieścić w umowie postanowienie, które będzie świadczyło o tym, że powierzasz zleceniobiorcy przetwarzanie danych osobowych. Rodzi to określone konsekwencje prawne, jak chociażby to, że zleceniobiorca może przetwarzać dane wyłącznie w celu przewidzianym w umowie, tzn. w celu niszczenia dokumentów. W umowie musisz określić zakres danych powierzonych do przetwarzania (art. 31 ust. 2). Zrób to, wpisując do umowy zamknięty katalog danych, np. imię, nazwisko, PESEL itp.

Celem umowy o niszczenie dokumentów nie jest powierzenie przetwarzania danych. Powierzenie danych w tym przypadku jest konsekwencją realizowanego celu. Powinieneś dołożyć szczególnej staranności, żeby zabezpieczyć i chronić przekazane dane osobowe. Dlatego nawet jeśli nie jesteś w stanie określić szczegółowego zakresu przekazanych danych, musisz koniecznie zawrzeć umowę powierzenia.

W umowie powierzenia wskaż zabezpieczenia organizacyjne. Zmieść w niej też postanowienia zakazujące zleceniobiorcy dalsze powierzenie. Wprost zapisz w umowie, że zleceniobiorca nie może powierzyć danych innemu podmiotowi. W takiej umowie musisz określić też sposób niszczenia dokumentów. Firma, która będzie niszczyć dokumenty, powinna wskazać pracowników upoważnionych do przetwarzania powierzonych danych osobowych.