Umowa powierzenia przetwarzania danych osobowych a upoważnienie do przetwarzania danych osobowych?

utworzone przez | 11 lutego 2021 | RODO i e-commerce | 0 komentarzy

Umowa powierzenia przetwarzania danych osobowych a upoważnienie do przetwarzania danych osobowych?

Stan prawny na dzień: 11.02.2021 r.

Wpis na blogu nie stanowi porady prawnej. Artykuł odnosi się do ogólnej sytuacji prawnej, dlatego nie może stanowić rozwiązania dla indywidualnego problemu. Jeżeli potrzebujesz indywidualnej konsultacji, zapraszam do kontaktu.

 

Ochrona danych osobowych, przygotowanie odpowiedniej dokumentacji, procedury związane z wdrożeniem, szkolenia – to kolejne etapy, które wpisują się w proces wdrażania RODO w firmach. Bardzo często ze strony właściciela firmy (bądź osoby przez niego wyznaczonej do współpracy w zakresie RODO) pada pytanie: kiedy należy stosować upoważnienie do przetwarzania danych osobowych, a kiedy należy zawrzeć umowę powierzenia przetwarzania danych osobowych? W moim dzisiejszym artykule przedstawię czym jest umowa powierzenia przetwarzania danych osobowych i z jaki podmiotami jest najczęściej zawierana, a także czym jest upoważnienie do przetwarzania danych osobowych i jakim osobom takie upoważnienie jest udzielane.

 

Bądź na bieżąco!:)

Informacje o nowych artykułach wprost na Twojego maila. W prezencie otrzymasz wzór legalnej stopki e-maila firmowego.

Podaj swój adres e-mail w celu realizacji usługi newslettera, jeżeli chcesz otrzymywać informacje o moich promocjach i ofertach.

Informację o przetwarzaniu Twoich danych osobowych znajdziesz w Polityce Prywatności. 

Please wait...

Dziękuję!:)

Wszystko przebiegło prawidłowo. W ciągu kilku minut otrzymasz ode mnie e-mail z dokumentem.

Jeżeli wiadomość nie dojdzie w ciągu kilku minut i nie ma jej w spamie, najpewniej Twój adres e-mail jest nieprawidłowy lub zawiera literówkę. Jeśli tak się stało, napisz do mnie na o.zarzecka@kancelaria-oz.pl.

 

 

W pierwszej kolejności zaczniemy od umowy powierzenia przetwarzania danych osobowych.

Umowa powierzenia przetwarzania danych osobowych

 

Regulacje prawne dot. umowy powierzenia przetwarzania danych osobowych (a właściwie podmiotu przetwarzającego) znajdziesz w art. 28 rozporządzenia RODO.

 

  • Kim jest podmiot przetwarzający?

To osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

 

Chodzi tutaj o osobę, której administrator danych osobowych na podstawie umowy powierzenia przetwarzania danych osobowych, przekazuje do dalszego przetwarzania posiadane przez administratora dane osobowe, w celach i przy określeniu sposobu przetwarzania, które wpisują się w cele i sposób przetwarzania tego administratora. W sytuacji, gdy podmiot przetwarzający wychodzi poza zakres celów i sposobów przetwarzania wynikających z umowy powierzenia, sam staje się administratorem danych osobowych i będzie ponosił taką odpowiedzialność jak administrator.

 

Przykłady podmiotów przetwarzających: firma hostingowa, obsługa IT, biuro rachunkowe, podwykonawca (umowa B2B), dostawca systemu do automatycznej obsługi mailingu (np. MailerLite, GetResponse).

  • Jakiemu podmiotowi administrator danych osobowych powinien powierzyć do przetwarzania dane osobowe? Czym administrator powinien się kierować?

 

Administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności, jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom rozporządzenia RODO, w tym wymogom bezpieczeństwa przetwarzania.

  • Umowa powierzenia przetwarzania danych osobowych – co ma zawierać?

 

Przetwarzanie przez podmiot przetwarzający powinno być regulowane umową. Umowa powierzenia przetwarzania danych osobowych wiąże podmiot przetwarzający z administratorem.

Elementy umowy, co zawiera:

  • określa przedmiot i czas trwania przetwarzania,
  • charakter i cele przetwarzania,
  • rodzaj danych osobowych i kategorie osób, których dane dotyczą,
  • oraz które powinny uwzględniać konkretne zadania i obowiązki podmiotu przetwarzającego w kontekście planowanego przetwarzania oraz ryzyko naruszenia praw lub wolności osoby, której dane dotyczą.

 

Ważne:

 

Po zakończeniu przetwarzania w imieniu administratora podmiot przetwarzający powinien– zgodnie z decyzją administratora – zwrócić lub usunąć dane osobowe, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający, nakładają obowiązek przechowywania danych osobowych.

Upoważnienie do przetwarzania danych osobowych

  • 29 rozporządzenia RODO:

Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

  • 32 ust. 4 rozporządzenia RODO:

Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

 

  • Forma takiego upoważnienia?

Zarówno polecenie, jak i upoważnienie mogą przybrać formę ustną lub pisemną (w tym elektroniczną).

UWAGA! ZASADA ROZLICZALNOŚCI

 

  • Zakres upoważnienia:

Powinien być uzależniony od celu przetwarzania danych osobowych. Dlatego należy wziąć pod uwagę zakres czynności, które osoba mająca przetwarzać dane osobowe faktycznie wykonuje w związku z wypełnianiem nałożonych na nią obowiązków służbowych.

Przykładowo: takie upoważnienie należy udzielić osobom zatrudnionym u administratora na podstawie umowy o pracę, umowy zlecenia, umowy o dzieło (te osoby nie prowadzą własnej działalności gospodarczej u administratora).

 

Podsumowując: po krótkiej analizie przedstawionych przeze mnie informacji, widzisz już zapewne różnicę pomiędzy umową powierzenia przetwarzania danych osobowych a upoważnieniem do przetwarzania danych osobowych. Głównym kryterium jest pozostawanie osoby w wewnętrznych strukturach firmy (administratora danych osobowych przez zatrudnienie) a „outsourcingiem” pewnych zadań innym firmom.

Jeżeli masz problem z wdrożeniem RODO w swojej firmie, bo wokół RODO ciągle narastają wątpliwości i nie wiesz, jak sobie z tym poradzić, zapraszam do kontaktu🙂

Udostępnij

0 komentarzy

Wyślij komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Udostępnij

Tagi wpisu

Kategorie

Popularne wpisy