Pracodawca rozważa zatrudnić zewnętrzną firmę do prowadzenia szkoleń z zakresu bhp. Czy z taką firmą należy zawrzeć umowę powierzenia, czy wystarczy upoważnić osobę prowadzącą takie szkolenie do przetwarzania danych osobowych pracowników?
Podmiotem przetwarzającym jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Cele i zakres tego przetwarzania określa administrator danych. W celu określenia, czy dany podmiot będzie podmiotem przetwarzającym, należy odpowiedzieć na pytanie, czy administrator danych mógłby powierzane czynności przeprowadzić we własnym zakresie. Odpowiedź będzie twierdząca, bowiem wielu pracodawców zadania służby bhp deleguje wyspecjalizowanemu pracownikowi. W takim przypadku osoba będąca jednocześnie pracownikiem, przetwarza dane osobowe innych pracowników zatrudnionych w zakładzie pracy wyłącznie z upoważnienia administratora.
Jeżeli jednak administrator danych zdecyduje się wybrać zewnętrzną firmę, wówczas konieczne wydaje się zawarcie umowy powierzenia danych osobowych. Taka umowa może być częścią umowy na usługi lub zlecenia. Nie musi być koniecznie odrębną umową, ale musi zawierać wszystkie element określone w przepisach RODO.
Takie stanowisko potwierdza również Ministerstwo Cyfryzacji w publikacji "RODO w administracji", w której czytamy, że "Jeżeli administrator zdecydował się jednak na zewnętrzny podmiot, który obsługuje go w tym zakresie (bhp - przypis redakcji), należy podpisać umowę powierzenia. W takim przypadku administrator powierza bowiem innemu podmiotowi zadanie, które mógłby zrealizować samodzielnie".
Umowa powierzenia powinna stanowić w szczególności, że podmiot przetwarzający:
|
|