LexDigital

Jak zobowiązanie do poufności może pomóc we wdrożeniu RODO

Każdy administrator danych osobowych zobowiązany jest do zabezpieczenia poufności danych, które przetwarza. RODO zobowiązuje go do wdrożenia środków technicznych i organizacyjnych które będą zapewniały gromadzonym danym bezpieczeństwo adekwatne do ich wagi oraz skali zagrożeń, na które mogą być one narażone. Temu celowi służyć może m.in. zobowiązanie do zachowania poufności.

Jak zobowiązanie do poufności może pomóc we wdrożeniu RODO

Oświadczenie o zachowaniu poufności

Każdy administrator danych osobowych zobowiązany jest do zabezpieczenia poufności danych, które przetwarza. RODO zobowiązuje go do wdrożenia środków technicznych i organizacyjnych które będą zapewniały gromadzonym danym bezpieczeństwo adekwatne do ich wagi oraz skali zagrożeń, na które mogą być one narażone. Temu celowi służyć może m.in. zobowiązanie do zachowania poufności.

RODO wielokrotnie zwraca uwagę na konieczność zachowania poufności danych osobowych. Do pewnego stopnia mogą ją zapewnić wdrożone środki techniczne, ograniczając nieuprawniony dostęp do danych i do sprzętu służącego ich przetwarzaniu. W zakresie w jakim określona grupa osób musi przetwarzać dane w związku z wykonywaniem swoich zadań konieczne jest takie uregulowanie zasad obchodzenia się z nimi, aby zminimalizować ryzyko, że wbrew przyjętym założeniom dane te trafią do osób nieuprawnionych.

Jednym ze środków, po które można w tym celu sięgnąć jest umowne zobowiązanie do zachowania poufności. Każdy pracownik, każdy współpracownik i każdy podmiot, któremu administrator powierza dane osobowe, powinien zostać zobowiązany do zachowania poufności tych danych. W braku takiego zobowiązania administrator może mieć kłopot z wykazaniem, że wdrożył adekwatne środki ochrony przetwarzanych danych osobowych i zapewnił ich efektywne działanie.

Zobowiązanie takie może zostać zawarte w odrębnej umowie, ale może temu tez służyć klauzula poufności zamieszczona w umowie o współpracy, umowie powierzenia czy w wystawionym upoważnieniu.

Jakie informacje objąć powinna umowa o poufności

Osobna umowa o poufności potrzebna jest tam, gdzie informacje zastrzeżone przekazywane są potencjalnemu kontrahentowi jeszcze przed podpisaniem właściwej umowy . W typowych sytuacjach tzw. NDA (non-disclosure agreement) dotyczy różnego rodzaju tajemnic handlowych, planów rozwoju biznesu, stosowanych technologii oraz innych informacji, których upublicznienie lub przekazanie konkurencji, mogłoby wpłynąć na powodzenie naszej firmy na rynku.

Ponieważ na tym etapie konieczne może być również umożliwienie potencjalnemu kontrahentowi wglądu w niektóre przetwarzane przez naszą firmę dane osobowe i na nie może znaleźć się miejsce w NDA. Konieczność taka wynikać może choćby z chęci zaprezentowania funkcjonalności wykorzystywanych przez nas systemów IT czy potencjału naszych usług, które nie  będą możliwe bez wglądy w dane osobowe.

Umowa o zachowaniu poufności powinna bardzo precyzyjnie określać, jakiego rodzaju informacje uznaje się za poufne, Służy temu zwykle albo odrębny paragraf albo definicja zawarta w dołączonym do umowy słowniczku. W szerokim ujęciu dane poufne obejmują wszelkie nieznane wcześniej i niedostępne publicznie informacje ujawnione przez jedną ze stron umowy drugiej stronie, bez względu na to czy nastąpiło to w formie ustnej, pisemnej, graficznej, schematycznej czy elektronicznej czy też zostały one zdobyte w drodze obserwacji lub oględzin jakichkolwiek materiałów, oprzyrządowania, fabryk, produktów, technologii itp. Integrując w ramach NDA zagadnienia danych osobowych, możemy objąć je ogólną definicją lub wyróżnić jako szczególną kategorię informacji poufnych. To drugie rozwiązanie wydaje się trafniejsze, pozwala bowiem uchwycić specyfikę ochrony danych osobowych, umożliwia ustalenia szczególnych zabezpieczeń, rygorów odpowiedzialności czy terminów, w zakresie, w jakim umowa o zachowaniu poufności odnosić się będzie do danych osobowych. Jeżeli umowa miałaby odnosić się do wyróżnionych w RODO szczególnych kategorii danych (np. o stanie zdrowia) – powinna zawierać odpowiednie zastrzeżenie oraz, o ile to możliwe, dalej idące ograniczenia – np. rozszerzając zakres zastosowania umowy również na personel kontrahenta.

Kogo obejmie umowa

Określenie zakresu osób, które będą objęte zakazami wynikającymi z umowy o zachowaniu  poufności ma niezwykle duże znaczenie. Kwestia ta przejawia się na dwa sposoby. Po pierwsze – tak jak to było we wskazanym wyżej przypadku danych wrażliwych – granice nakazu zachowania poufności wyznaczaj granice wykorzystania przekazanych informacji. Może on objąć również sytuacje, w których miałyby zostać one ujawnione pracownikom kontrahenta niezaangażowanym bezpośrednio w dany projekt lub negocjacje. Umowa może wręcz wskazywać zamknięty katalog osób, które jako osoby zaangażowane mogą korzystać z informacji określonych w umowie jako poufne.

Równie ważne jest jednoznaczne wskazanie w umowie, że zobowiązanie do poufności rozciąga się na wszystkich pracowników, współpracowników i inne osoby wewnątrz organizacji kontrahenta, którym przekazane zostaną poufne informacje. Brak zawężenia katalogu osób upoważnionych do korzystania z wyróżnionych danych oznaczać będzie, że w zakresie, w jakim wynikać to będzie z wewnętrznej organizacji spółki kontrahenta oraz przyjętego przez niego podziału zadań – nasze poufne informacje będą mogły trafić w ręce każdej zatrudnionej tam osoby. Umową może przypomnieć kontrahentowi, ze odpowiada on za działania swoich pracowników jak za swoje własne.

Kary za naruszenie zakazu

Wiąże się to bezpośrednio z określeniem konsekwencji ciążących na stronach NDA w związku z jej naruszeniem. Dość szeroko przyjęta jest praktyka zawierania w takich umowach kar umownych. Ich wysokość może być niezwykle zróżnicowana, powinna bowiem dostosowana do rynkowej wartości informacji, które zabezpieczać ma umowa. Zastrzegając kary umowne dobrze jest zastrzec, że ich naliczenie czy nawet zapłata nie wyłączają możliwości dochodzenia uzupełniającego odszkodowania od strony naruszającej umowę. W innym wypadku zapłata kary umownej będzie wyczerpywała możliwość ubiegania się o odszkodowanie, choćby poniesiona strata znacząco przekraczały wysokość ustalonej kary.

Zwrot poufnych informacji

W umowie należy określić, jak nasz kontrahent ma postępować z poufnymi informacjami po ustaniu celu, w jakim mu je powierzyliśmy. Dobrze jest zastrzec, że powinien w tej sytuacji zwrócić wszelkie dokumenty zawierające informacje poufne, a w zakresie, w jakim to będzie niezbędne – zniszczyć nośniki informacji, na których trwale zapisano informacje objęte NDA. 

W umowie warto zastrzec sobie również możliwość domagania się natychmiastowego zwrotu dokumentów i innych nośników informacji na żądanie. 

Jak zastrzec poufność bez zawierania dodatkowej umowy

Jeżeli zastrzeżone informacje trafią do naszego kontrahenta dopiero po podpisaniu umowy, odpowiednia klauzula poufności może się znaleźć już w tej umowie. Zwykle poświęca się temu zagadnieniu odpowiedni paragraf czy rozdział w umowie.

Takie rozwiązanie wymaga nieco mniej dokładności przy wypisywaniu kategorii danych, które podlegają złożonemu przez kontrahenta oświadczeniu o zachowaniu poufności, wiele w tym zakresie wyjaśnia bowiem wewnętrzne odesłanie do postanowień zawieranej umowy. Taka klauzula poufności zasadniczo obejmowała będzie wszystkie te informacje, które trafią do kontrahenta w związku z wykonaniem powierzonych mu zadań.

W przypadku klauzuli poufności zawartej w umowie współpracy, czy umowie o świadczenie usług ważne jest też odpowiednie zastrzeżenie terminu w jakim strony zobowiązują się do nieujawniania poufnych informacji, jakie otrzymały. Termin ten musi być dłuższy niż termin obowiązywania samej umowy. W odpowiednim postanowieniu umowy zakreśla się go na przykład na czas trwania umowy oraz przez 5 lat po jej zakończeniu. 

Klauzula poufności odnosząca się również do danych osobowych powinna jednak uwzględniać konieczność usunięcia tych danych w możliwie najkrótszym terminie. W przeciwieństwie do danych handlowych czy przemysłowych, upływ terminu zobowiązania do zachowania poufności nie będzie otwierał możliwości swobodnego przetwarzania informacji uzyskanych przez kontrahenta. Wręcz przeciwnie. W braku innych podstaw przetwarzania danych nasz kontrahent będzie musiał usunąć wszelkie dane, które od nas otrzymał.

Ukazuje to odmienną rolę, jaką pełni klauzula poufności w stosunku do danych osobowych – jej zadaniem będzie zabezpieczenie danych osobowych w okresie przejściowym, w którym nie są one mu już potrzebne w bezpośrednim związku z umową – ta bowiem już wygasła, ale z innych względów, tym np. w związku z potencjalnymi roszczeniami, jakie z minionej umowy mogą jeszcze wypłynąć – musi wciąż przechowywać powierzone mu dane.

Upoważnienie do przetwarzania a poufność danych 

Podobnie funkcjonowało będzie oświadczenie o zachowaniu poufności składane przez pracownika czy współpracownika, któremu udzielimy upoważnienia do przetwarzania danych osobowych. Jako administrator danych osobowych mamy obowiązek przeszkolić każdą osobę, którą upoważnimy do przetwarzania danych osobowych z zasad ochrony danych a także wyraźnie ustalić, jakie dane, w jaki sposób i w jakim celu ma przetwarzać w naszym imieniu. Takie upoważnienie wprost powinno również zawierać zobowiązanie do zachowania poufności pozyskanych danych osobowych. Niejednokrotnie zawiera również odesłanie do przepisów przewidujących odpowiedzialność karną za niewłaściwe obchodzenie się z danymi osobowymi.

Oczywiście nic nie stoi na przeszkodzie temu, aby zawrzeć odrębną umowę o zachowaniu poufności z pracownikiem. Taki dokument w oczach zatrudnionego personelu może mieć większą rangę i regulować zasady zachowania poufności danych osobowych niezależnie od innych obowiązujących miedzy stronami umów, upoważnień czy ustaleń.

 

Polecane

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował „Privacy Shield” („Tarczę prywatności”). Powodem jest zbyt łatwy dostęp amerykańskich służb tj. amerykańskiej Agencji Bezpieczeństwa Narodowego do danych Europejczyków. Co więcej, odbywa się to bez kontroli sądowej, a obywatele UE nie mają w praktycznie żadnej możliwości podważenia decyzji o wglądzie do informacji na ich temat.

Popularne

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie zasad to jeden z najważniejszych, ale i najtrudniejszych etapów koniecznych do przeprowadzenia na drodze do uzyskania zgodności z wybranymi standardami czy przepisami prawa. Ustanowione zasady musząbyćdostosowane do specyfiki organizacji, a ich wprowadzanie powinno być odpowiednio zaplanowane i musi uwzględniać wiele aspektów począwszy od ustalenia niezbędnych zasobów, a kończąc na zbudowaniu świadomości pracowników.

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Każdywdrożony system jest żywy i ewoluuje wraz z rozwojem przedsiębiorstwa, wprowadzaniem kolejnych zmian w procesach czy wykorzystywanych narzędziach. Zmianom ulegająrównież wytyczne w stosunku do których wprowadzane były zmiany. Bardzo często pewne sytuacje osobom na co dzień nie zajmującymsiętematyką ochrony danych czy szeroko rozumianego bezpieczeństwa informacji sprawiają trudności, w szczególności,że wiele przepisów jest bardzo ogólnych, trudnych

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.