Samo zawarcie umowy o zachowaniu poufności (NDA) oraz umowy powierzenia przetwarzania danych osobowych nie jest wystarczające. Konieczne jest również zapewnienie zgodności z przepisami ogólnego rozporządzenia o ochronie danych (RODO) oraz krajowej ustawy o ochronie danych osobowych poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych.
Zgodnie z art. 28 ust. 1 RODO, administrator danych, powierzając przetwarzanie danych osobowych podmiotowi przetwarzającemu (np. osobie współpracującej na podstawie umowy B2B), ma obowiązek korzystać wyłącznie z takich podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odbywało się zgodnie z wymaganiami RODO i chroniło prawa osób, których dane dotyczą.
Umowa powierzenia przetwarzania danych, o której mowa w art. 28 ust. 3 RODO, musi zawierać szczegółowe zapisy dotyczące m.in. celu i charakteru przetwarzania, czasu trwania, rodzaju danych, obowiązków i praw administratora oraz obowiązków podmiotu przetwarzającego, w tym m.in. wymogu zachowania poufności przez osoby działające z jego upoważnienia (art. 28 ust. 3 lit. b RODO).
Samo podpisanie NDA nie zastępuje obowiązków wynikających z art. 32 RODO, który nakłada na administratora i podmiot przetwarzający obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych uwzględniających m.in. stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych.
Oznacza to, że firma, zatrudniając osoby na podstawie umów B2B, powinna – oprócz odpowiednich umów – wdrożyć procedury zarządzania dostępem, polityki bezpieczeństwa, rejestry przetwarzań oraz systemy kontroli i audytu przetwarzania danych. Tylko całościowe podejście do kwestii ochrony danych osobowych może zostać uznane za zgodne z przepisami prawa.
