Podpisując umowę zlecenie na świadczenie usługi bycia IOD u danego podmiotu, to nie podpisujemy umowy powierzenia? Czy należy wydać upoważnienie dla IOD, czy działa on w oparciu o uprawnienia/obowiązki IOD wynikające z RODO?
Odpowiedź
Z zewnętrznym IOD administrator danych powinien zawrzeć umowę o świadczenie usług. Zgodnie z przyjętym przez UODO stanowiskiem (https://uodo.gov.pl/pl/495/2412), z zewnętrznym IOD nie zawiera się umowy powierzenia. IOD działa na podstawie zawartej umowy. Umowa o świadczenie usług powinna zawierać zadania wskazane w art. 39 ust. 1 RODO, które powinny być realizowane przy spełnieniu warunków określonych w przepisach tego aktu, w sposób gwarantujący inspektorowi niezależność. Administrator i podmiot przetwarzający mają m.in. obowiązek zapewnić, aby inspektor nie otrzymywał instrukcji dotyczących wykonywania swoich zadań. Z tego względu, zawarcie umowy powierzenia nie jest zasadne.