LexDigital

Jak zobowiązanie o zachowaniu poufności (klauzula poufności) może pomóc we wdrożeniu RODO

Każdy administrator danych osobowych zobowiązany jest do zabezpieczenia poufności danych, które przetwarza. RODO zobowiązuje go do wdrożenia środków technicznych i organizacyjnych które będą zapewniały gromadzonym danym bezpieczeństwo adekwatne do ich wagi oraz skali zagrożeń, na które mogą być one narażone. Temu celowi służyć może m.in. zobowiązanie do zachowania poufności (klauzula poufności).

Jak zobowiązanie o zachowaniu poufności (klauzula poufności) może pomóc we wdrożeniu RODO

Oświadczenie o zachowaniu poufności 

Każdy administrator danych osobowych zobowiązany jest do zabezpieczenia poufności danych, które przetwarza. RODO zobowiązuje go do wdrożenia środków technicznych i organizacyjnych które będą zapewniały gromadzonym danym bezpieczeństwo adekwatne do ich wagi oraz skali zagrożeń, na które mogą być one narażone. Temu celowi służyć może m.in. zobowiązanie do zachowania poufności.

RODO, klauzula poufności, GDPR

RODO wielokrotnie zwraca uwagę na konieczność zachowania poufności danych osobowych. Do pewnego stopnia mogą ją zapewnić wdrożone środki techniczne, ograniczając nieuprawniony dostęp do danych i do sprzętu służącego ich przetwarzaniu. W zakresie w jakim określona grupa osób musi przetwarzać dane w związku z wykonywaniem swoich zadań konieczne jest takie uregulowanie zasad obchodzenia się z nimi, aby zminimalizować ryzyko, że wbrew przyjętym założeniom dane te trafią do osób nieuprawnionych.

Jednym ze środków, po które można w tym celu sięgnąć jest umowa o zachowaniu poufności. Każdy pracownik, każdy współpracownik i każdy podmiot, któremu administrator powierza dane osobowe, powinien zostać zobowiązany do zachowania poufności tych danych. W przypadku braku takiego zobowiązania administrator może mieć kłopot z wykazaniem, że wdrożył adekwatne środki ochrony przetwarzanych danych osobowych i zapewnił ich efektywne działanie. Umowę o zachowaniu poufności podpisujemy zazwyczaj aby chronić informację posiadającą wartość gospodarczą i aby pracownik nie mógł bezkarnie wyjawić tajemnicy przedsiębiorstwa. Często jednak klauzula poufności może i powinna dotyczyć również danych osobowych, które same w sobie również stanowią swojego rodzaju tajemnicę przedsiębiorstwa. 

Zobowiązanie takie może zostać zawarte w odrębnej umowie, ale może temu tez służyć klauzula poufności zamieszczona w umowie o współpracy, umowie powierzenia czy w wystawionym upoważnieniu.

Jakie informacje objąć powinna umowa o poufności

Osobna umowa o poufności potrzebna jest tam, gdzie informacje zastrzeżone przekazywane są potencjalnemu kontrahentowi jeszcze przed podpisaniem właściwej umowy . W typowych sytuacjach tzw. NDA (non-disclosure agreement) dotyczy różnego rodzaju tajemnic handlowych, planów rozwoju biznesu, stosowanych technologii oraz innych informacji, których upublicznienie lub przekazanie konkurencji, mogłoby wpłynąć na powodzenie naszej firmy na rynku. 

Ponieważ na tym etapie konieczne może być również umożliwienie potencjalnemu kontrahentowi wglądu w niektóre przetwarzane przez naszą firmę dane osobowe i na nie może znaleźć się miejsce w NDA. Konieczność taka wynikać może choćby z chęci zaprezentowania funkcjonalności wykorzystywanych przez nas systemów IT czy potencjału naszych usług, które nie  będą możliwe bez wglądy w dane osobowe.

Umowa o zachowaniu poufności powinna bardzo precyzyjnie określać, jakiego rodzaju informacje uznaje się za poufne, Służy temu zwykle albo odrębny paragraf albo definicja zawarta w dołączonym do umowy słowniczku. W szerokim ujęciu dane poufne obejmują wszelkie nieznane wcześniej i niedostępne publicznie informacje ujawnione przez jedną ze stron umowy drugiej stronie, bez względu na to czy nastąpiło to w formie ustnej, pisemnej, graficznej, schematycznej czy elektronicznej czy też zostały one zdobyte w drodze obserwacji lub oględzin jakichkolwiek materiałów, oprzyrządowania, fabryk, produktów, technologii itp. Naruszenie klauzuli poufności i wyjawienie tajemnicy przedsiębiorstwa może prowadzić do zasądzenia odpowiedniej sumy pieniężnej na rzecz pracodawcy nie wspominając już o ustaniu stosunku pracy jeżeli sprawa dotyczy osoby zatrudnionej. Integrując w ramach NDA zagadnienia danych osobowych, możemy objąć je ogólną definicją lub wyróżnić jako szczególną kategorię informacji poufnych. To drugie rozwiązanie wydaje się trafniejsze, pozwala bowiem uchwycić specyfikę ochrony danych osobowych, umożliwia ustalenia szczególnych zabezpieczeń, rygorów odpowiedzialności czy terminów, w zakresie, w jakim umowa o zachowaniu poufności odnosić się będzie do danych osobowych. Jeżeli umowa miałaby odnosić się do wyróżnionych w RODO szczególnych kategorii danych (np. o stanie zdrowia) – powinna zawierać odpowiednie zastrzeżenie oraz, o ile to możliwe, dalej idące ograniczenia – np. rozszerzając zakres zastosowania umowy również na personel kontrahenta.

Kogo obejmie umowa

Określenie zakresu osób, które będą objęte zakazami wynikającymi z umowy o zachowaniu  poufności ma niezwykle duże znaczenie. Kwestia ta przejawia się na dwa sposoby. Po pierwsze – tak jak to było we wskazanym wyżej przypadku danych wrażliwych – granice nakazu zachowania poufności wyznaczaj granice wykorzystania przekazanych informacji. Może on objąć również sytuacje, w których miałyby zostać one ujawnione pracownikom kontrahenta niezaangażowanym bezpośrednio w dany projekt lub negocjacje. Umowa może wręcz wskazywać zamknięty katalog osób, które jako osoby zaangażowane mogą korzystać z informacji określonych w umowie jako poufne.

Równie ważne jest jednoznaczne wskazanie w umowie, że zobowiązanie do poufności rozciąga się na wszystkich pracowników, współpracowników i inne osoby wewnątrz organizacji kontrahenta, którym przekazane zostaną poufne informacje. Brak zawężenia katalogu osób upoważnionych do korzystania z wyróżnionych danych oznaczać będzie, że w zakresie, w jakim wynikać to będzie z wewnętrznej organizacji spółki kontrahenta oraz przyjętego przez niego podziału zadań – nasze poufne informacje będą mogły trafić w ręce każdej zatrudnionej tam osoby. Umową można przypomnieć kontrahentowi, ze odpowiada on za działania swoich pracowników jak za swoje własne.

Kary za naruszenie zakazu

Wiąże się to bezpośrednio z określeniem konsekwencji ciążących na stronach NDA wynikających z naruszenia umowy. Dość szeroko przyjęta jest praktyka zawierania w takich umowach kar umownych. Ich wysokość może być niezwykle zróżnicowana, powinna bowiem dostosowana do rynkowej wartości informacji, które zabezpieczać ma umowa. Zastrzegając kary umowne dobrze jest zastrzec, że ich naliczenie czy nawet zapłata nie wyłączają możliwości dochodzenia uzupełniającego odszkodowania od strony naruszającej umowę. W innym wypadku zapłata kary umownej będzie wyczerpywała możliwość ubiegania się o odszkodowanie, choćby poniesiona strata znacząco przekraczały wysokość ustalonej kary. Wykorzystywanie nielegalnie pozyskanych tajemnic przedsiębiorstwa czy informacji poufnych stanowi czyn nieuczciwej konkurencji na podstawie przepisów prawa (ustawa o zwalczaniu nieuczciwej konkurencji z dnia 16 kwietnia 1993 r.). Pamiętajmy, że nie tylko informacje techniczne ale również dane osobowe to informacje posiadające wartość gospodarczą i ich wykorzystanie stanowi czyn nieuczciwej konkurencji. W przypadku naruszenia poufności informacji przekazywanych możemy również domagać się usunięcia skutków niedozwolonych działań czy też naprawienia wyrządzonej szkody.

Zwrot poufnych informacji

W umowie należy określić, jak nasz kontrahent ma postępować z poufnymi informacjami po ustaniu celu, w jakim mu je powierzyliśmy. Dobrze jest zastrzec, że powinien w tej sytuacji zwrócić wszelkie dokumenty zawierające informacje poufne, a w zakresie, w jakim to będzie niezbędne – zniszczyć nośniki informacji, na których trwale zapisano informacje objęte NDA. 

W umowie warto zastrzec sobie również możliwość domagania się natychmiastowego zwrotu dokumentów i innych nośników informacji na żądanie.

Sprawdź nasz artykuł: Aktualna klauzula RODO do CV 2024. Jak poprawnie sformułować zgodę?


Jak zastrzec poufność bez zawierania dodatkowej umowy

Jeżeli zastrzeżone informacje trafią do naszego kontrahenta dopiero po podpisaniu umowy, odpowiednia klauzula poufności może się znaleźć już w tej umowie. Zwykle poświęca się temu zagadnieniu odpowiedni paragraf czy rozdział w umowie.

Takie rozwiązanie wymaga nieco mniej dokładności przy wypisywaniu kategorii danych, które podlegają złożonemu przez kontrahenta oświadczeniu o zachowaniu poufności, wiele w tym zakresie wyjaśnia bowiem wewnętrzne odesłanie do postanowień zawieranej umowy. Taka klauzula poufności zasadniczo obejmowała będzie wszystkie te informacje, które trafią do kontrahenta w związku z wykonaniem powierzonych mu zadań.

W przypadku klauzuli poufności zawartej w umowie współpracy, czy umowie o świadczenie usług ważne jest też odpowiednie zastrzeżenie terminu w jakim strony zobowiązują się do nieujawniania poufnych informacji, jakie otrzymały. Termin ten musi być dłuższy niż termin obowiązywania samej umowy. W odpowiednim postanowieniu umowy zakreśla się go na przykład na czas trwania umowy oraz przez 5 lat po jej zakończeniu. 

Klauzula poufności odnosząca się również do danych osobowych powinna jednak uwzględniać konieczność usunięcia tych danych w możliwie najkrótszym terminie. W przeciwieństwie do danych handlowych czy przemysłowych, upływ terminu zobowiązania do zachowania poufności nie będzie otwierał możliwości swobodnego przetwarzania informacji uzyskanych przez kontrahenta. Wręcz przeciwnie. W braku innych podstaw przetwarzania danych nasz kontrahent będzie musiał usunąć wszelkie dane, które od nas otrzymał.

Ukazuje to odmienną rolę, jaką pełni klauzula poufności w stosunku do danych osobowych – jej zadaniem będzie zabezpieczenie danych osobowych w okresie przejściowym, w którym nie są one mu już potrzebne w bezpośrednim związku z umową – ta bowiem już wygasła, ale z innych względów, tym np. w związku z potencjalnymi roszczeniami, jakie z minionej umowy mogą jeszcze wypłynąć – musi wciąż przechowywać powierzone mu dane.

Upoważnienie do przetwarzania a poufność danych 

Podobnie funkcjonowało będzie oświadczenie o zachowaniu poufności składane przez pracownika czy współpracownika, któremu udzielimy upoważnienia do przetwarzania danych osobowych. Jako administrator danych osobowych mamy obowiązek przeszkolić każdą osobę, którą upoważnimy do przetwarzania danych osobowych z zasad ochrony danych a także wyraźnie ustalić, jakie dane, w jaki sposób i w jakim celu ma przetwarzać w naszym imieniu. Takie upoważnienie wprost powinno również zawierać zobowiązanie do zachowania poufności pozyskanych danych osobowych. Niejednokrotnie zawiera również odesłanie do przepisów przewidujących odpowiedzialność karną za niewłaściwe obchodzenie się z danymi osobowymi.

Oczywiście nic nie stoi na przeszkodzie temu, aby zawrzeć odrębną umowę o zachowaniu poufności z pracownikiem. Taki dokument w oczach zatrudnionego personelu może mieć większą rangę i regulować zasady zachowania poufności danych osobowych niezależnie od innych obowiązujących miedzy stronami umów, upoważnień czy ustaleń.

 

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk