LexDigital

Jak zobowiązanie do poufności może pomóc we wdrożeniu RODO

Każdy administrator danych osobowych zobowiązany jest do zabezpieczenia poufności danych, które przetwarza. RODO zobowiązuje go do wdrożenia środków technicznych i organizacyjnych które będą zapewniały gromadzonym danym bezpieczeństwo adekwatne do ich wagi oraz skali zagrożeń, na które mogą być one narażone. Temu celowi służyć może m.in. zobowiązanie do zachowania poufności.

Jak zobowiązanie do poufności może pomóc we wdrożeniu RODO

Oświadczenie o zachowaniu poufności

Każdy administrator danych osobowych zobowiązany jest do zabezpieczenia poufności danych, które przetwarza. RODO zobowiązuje go do wdrożenia środków technicznych i organizacyjnych które będą zapewniały gromadzonym danym bezpieczeństwo adekwatne do ich wagi oraz skali zagrożeń, na które mogą być one narażone. Temu celowi służyć może m.in. zobowiązanie do zachowania poufności.

RODO wielokrotnie zwraca uwagę na konieczność zachowania poufności danych osobowych. Do pewnego stopnia mogą ją zapewnić wdrożone środki techniczne, ograniczając nieuprawniony dostęp do danych i do sprzętu służącego ich przetwarzaniu. W zakresie w jakim określona grupa osób musi przetwarzać dane w związku z wykonywaniem swoich zadań konieczne jest takie uregulowanie zasad obchodzenia się z nimi, aby zminimalizować ryzyko, że wbrew przyjętym założeniom dane te trafią do osób nieuprawnionych.

Jednym ze środków, po które można w tym celu sięgnąć jest umowne zobowiązanie do zachowania poufności. Każdy pracownik, każdy współpracownik i każdy podmiot, któremu administrator powierza dane osobowe, powinien zostać zobowiązany do zachowania poufności tych danych. W braku takiego zobowiązania administrator może mieć kłopot z wykazaniem, że wdrożył adekwatne środki ochrony przetwarzanych danych osobowych i zapewnił ich efektywne działanie.

Zobowiązanie takie może zostać zawarte w odrębnej umowie, ale może temu tez służyć klauzula poufności zamieszczona w umowie o współpracy, umowie powierzenia czy w wystawionym upoważnieniu.

Jakie informacje objąć powinna umowa o poufności

Osobna umowa o poufności potrzebna jest tam, gdzie informacje zastrzeżone przekazywane są potencjalnemu kontrahentowi jeszcze przed podpisaniem właściwej umowy . W typowych sytuacjach tzw. NDA (non-disclosure agreement) dotyczy różnego rodzaju tajemnic handlowych, planów rozwoju biznesu, stosowanych technologii oraz innych informacji, których upublicznienie lub przekazanie konkurencji, mogłoby wpłynąć na powodzenie naszej firmy na rynku.

Ponieważ na tym etapie konieczne może być również umożliwienie potencjalnemu kontrahentowi wglądu w niektóre przetwarzane przez naszą firmę dane osobowe i na nie może znaleźć się miejsce w NDA. Konieczność taka wynikać może choćby z chęci zaprezentowania funkcjonalności wykorzystywanych przez nas systemów IT czy potencjału naszych usług, które nie  będą możliwe bez wglądy w dane osobowe.

Umowa o zachowaniu poufności powinna bardzo precyzyjnie określać, jakiego rodzaju informacje uznaje się za poufne, Służy temu zwykle albo odrębny paragraf albo definicja zawarta w dołączonym do umowy słowniczku. W szerokim ujęciu dane poufne obejmują wszelkie nieznane wcześniej i niedostępne publicznie informacje ujawnione przez jedną ze stron umowy drugiej stronie, bez względu na to czy nastąpiło to w formie ustnej, pisemnej, graficznej, schematycznej czy elektronicznej czy też zostały one zdobyte w drodze obserwacji lub oględzin jakichkolwiek materiałów, oprzyrządowania, fabryk, produktów, technologii itp. Integrując w ramach NDA zagadnienia danych osobowych, możemy objąć je ogólną definicją lub wyróżnić jako szczególną kategorię informacji poufnych. To drugie rozwiązanie wydaje się trafniejsze, pozwala bowiem uchwycić specyfikę ochrony danych osobowych, umożliwia ustalenia szczególnych zabezpieczeń, rygorów odpowiedzialności czy terminów, w zakresie, w jakim umowa o zachowaniu poufności odnosić się będzie do danych osobowych. Jeżeli umowa miałaby odnosić się do wyróżnionych w RODO szczególnych kategorii danych (np. o stanie zdrowia) – powinna zawierać odpowiednie zastrzeżenie oraz, o ile to możliwe, dalej idące ograniczenia – np. rozszerzając zakres zastosowania umowy również na personel kontrahenta.

Kogo obejmie umowa

Określenie zakresu osób, które będą objęte zakazami wynikającymi z umowy o zachowaniu  poufności ma niezwykle duże znaczenie. Kwestia ta przejawia się na dwa sposoby. Po pierwsze – tak jak to było we wskazanym wyżej przypadku danych wrażliwych – granice nakazu zachowania poufności wyznaczaj granice wykorzystania przekazanych informacji. Może on objąć również sytuacje, w których miałyby zostać one ujawnione pracownikom kontrahenta niezaangażowanym bezpośrednio w dany projekt lub negocjacje. Umowa może wręcz wskazywać zamknięty katalog osób, które jako osoby zaangażowane mogą korzystać z informacji określonych w umowie jako poufne.

Równie ważne jest jednoznaczne wskazanie w umowie, że zobowiązanie do poufności rozciąga się na wszystkich pracowników, współpracowników i inne osoby wewnątrz organizacji kontrahenta, którym przekazane zostaną poufne informacje. Brak zawężenia katalogu osób upoważnionych do korzystania z wyróżnionych danych oznaczać będzie, że w zakresie, w jakim wynikać to będzie z wewnętrznej organizacji spółki kontrahenta oraz przyjętego przez niego podziału zadań – nasze poufne informacje będą mogły trafić w ręce każdej zatrudnionej tam osoby. Umową może przypomnieć kontrahentowi, ze odpowiada on za działania swoich pracowników jak za swoje własne.

Kary za naruszenie zakazu

Wiąże się to bezpośrednio z określeniem konsekwencji ciążących na stronach NDA w związku z jej naruszeniem. Dość szeroko przyjęta jest praktyka zawierania w takich umowach kar umownych. Ich wysokość może być niezwykle zróżnicowana, powinna bowiem dostosowana do rynkowej wartości informacji, które zabezpieczać ma umowa. Zastrzegając kary umowne dobrze jest zastrzec, że ich naliczenie czy nawet zapłata nie wyłączają możliwości dochodzenia uzupełniającego odszkodowania od strony naruszającej umowę. W innym wypadku zapłata kary umownej będzie wyczerpywała możliwość ubiegania się o odszkodowanie, choćby poniesiona strata znacząco przekraczały wysokość ustalonej kary.

Zwrot poufnych informacji

W umowie należy określić, jak nasz kontrahent ma postępować z poufnymi informacjami po ustaniu celu, w jakim mu je powierzyliśmy. Dobrze jest zastrzec, że powinien w tej sytuacji zwrócić wszelkie dokumenty zawierające informacje poufne, a w zakresie, w jakim to będzie niezbędne – zniszczyć nośniki informacji, na których trwale zapisano informacje objęte NDA. 

W umowie warto zastrzec sobie również możliwość domagania się natychmiastowego zwrotu dokumentów i innych nośników informacji na żądanie. 

Jak zastrzec poufność bez zawierania dodatkowej umowy

Jeżeli zastrzeżone informacje trafią do naszego kontrahenta dopiero po podpisaniu umowy, odpowiednia klauzula poufności może się znaleźć już w tej umowie. Zwykle poświęca się temu zagadnieniu odpowiedni paragraf czy rozdział w umowie.

Takie rozwiązanie wymaga nieco mniej dokładności przy wypisywaniu kategorii danych, które podlegają złożonemu przez kontrahenta oświadczeniu o zachowaniu poufności, wiele w tym zakresie wyjaśnia bowiem wewnętrzne odesłanie do postanowień zawieranej umowy. Taka klauzula poufności zasadniczo obejmowała będzie wszystkie te informacje, które trafią do kontrahenta w związku z wykonaniem powierzonych mu zadań.

W przypadku klauzuli poufności zawartej w umowie współpracy, czy umowie o świadczenie usług ważne jest też odpowiednie zastrzeżenie terminu w jakim strony zobowiązują się do nieujawniania poufnych informacji, jakie otrzymały. Termin ten musi być dłuższy niż termin obowiązywania samej umowy. W odpowiednim postanowieniu umowy zakreśla się go na przykład na czas trwania umowy oraz przez 5 lat po jej zakończeniu. 

Klauzula poufności odnosząca się również do danych osobowych powinna jednak uwzględniać konieczność usunięcia tych danych w możliwie najkrótszym terminie. W przeciwieństwie do danych handlowych czy przemysłowych, upływ terminu zobowiązania do zachowania poufności nie będzie otwierał możliwości swobodnego przetwarzania informacji uzyskanych przez kontrahenta. Wręcz przeciwnie. W braku innych podstaw przetwarzania danych nasz kontrahent będzie musiał usunąć wszelkie dane, które od nas otrzymał.

Ukazuje to odmienną rolę, jaką pełni klauzula poufności w stosunku do danych osobowych – jej zadaniem będzie zabezpieczenie danych osobowych w okresie przejściowym, w którym nie są one mu już potrzebne w bezpośrednim związku z umową – ta bowiem już wygasła, ale z innych względów, tym np. w związku z potencjalnymi roszczeniami, jakie z minionej umowy mogą jeszcze wypłynąć – musi wciąż przechowywać powierzone mu dane.

Upoważnienie do przetwarzania a poufność danych 

Podobnie funkcjonowało będzie oświadczenie o zachowaniu poufności składane przez pracownika czy współpracownika, któremu udzielimy upoważnienia do przetwarzania danych osobowych. Jako administrator danych osobowych mamy obowiązek przeszkolić każdą osobę, którą upoważnimy do przetwarzania danych osobowych z zasad ochrony danych a także wyraźnie ustalić, jakie dane, w jaki sposób i w jakim celu ma przetwarzać w naszym imieniu. Takie upoważnienie wprost powinno również zawierać zobowiązanie do zachowania poufności pozyskanych danych osobowych. Niejednokrotnie zawiera również odesłanie do przepisów przewidujących odpowiedzialność karną za niewłaściwe obchodzenie się z danymi osobowymi.

Oczywiście nic nie stoi na przeszkodzie temu, aby zawrzeć odrębną umowę o zachowaniu poufności z pracownikiem. Taki dokument w oczach zatrudnionego personelu może mieć większą rangę i regulować zasady zachowania poufności danych osobowych niezależnie od innych obowiązujących miedzy stronami umów, upoważnień czy ustaleń.

 

Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.