Po zalogowaniu się otrzymasz dostęp do wielu innych materiałów - Sprawdź
Umowa powierzenia zgodna z RODO
Z kim należy podpisać umowę powierzenia?
Z tego wpisu dowiesz się:
1. Kim jest administrator danych oraz kim jest podmiot przetwarzający?
2. Jak ustalić swoją rolę w procesie przetwarzania - czyli jak określić kto jest administratorem, a kto podmiotem przetwarzającym?
3. Z kim należy podpisać umowę powierzenia?
4. W jakiej formie należy podpisać umowę powierzenia?
Pojęcie administratora danych i jego relacja, w stosunku do z pojęcia podmiotu przetwarzającego odgrywają zasadniczą rolę w stosowaniu RODO, ponieważ określają, kto odpowiada za zgodność z zasadami ochrony danych, w jaki sposób osoby, których dane dotyczą, mogą wykonywać swoje prawa. W tym kontekście ważne jest również pojęcie współadministrowania.
1. Kim jest administrator oraz kim jest podmiot przetwarzający?
Ostatnio bardzo często używane pojęcia „administratora” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Administrator musi wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO. Musi to też umieć wykazać.
Ponadto, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, musi on wykorzystywać wyłącznie usługi takich podmiotów przetwarzających, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Takie sposoby przetwarzania musi spełniać wymogi RODO, między innymi należy zadbać, aby możliwe było realizowanie praw podmiotów danych.
Pojawia się kolejne kluczowe pojęcie. Tzw. procesora.
Pełni on drugą możliwą rolę w procesach przetwarzania danych. Kim jest podmiot przetwarzający? „Podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Przetwarzanie w imieniu administratora będzie najczęściej odbywać się w momencie występowania tzw. Outsourcingu, czyli – procesu wydzielenia ze struktury organizacyjnej przedsiębiorstwa niektórych usług i przekazanie ich do wykonania innym podmiotom. Zauważ, że główną cechą procesora jest to, że nie przetwarza danych we własnych celach, a tylko wykonuje pewne czynności na polecenie administratora. .
2. Jak ustalić swoją rolę w procesie przetwarzania - czyli jak określić kto jest administratorem, a kto podmiotem przetwarzającym?
Pytanie to staje się szczególnie istotne, gdy w przetwarzanie danych osobowych zaangażowane są różne podmioty i konieczne jest określenie, który z nich jest administratorem danych (sam lub wraz z innymi), a które należy uważać za przetwarzających dane, o ile w ogóle występują.
Ustalenie tego kto jest administratorem danego procesu przetwarzania danych jest kluczowe z punktu widzenia określenia tego, kto odpowiada za zgodność z zasadami ochrony danych i wobec kogo osoby, których dane dotyczą mogą w praktyce wykonywać swoje prawa, w tym przede wszystkim uzyskać informacje na temat przetwarzania danych.
Czy jesteś administratorem?
Jeśli decydujesz o celach i sposobach przetwarzania danych osobowych to znaczy, że tak. Cele i sposoby odzwierciedlają pytania: „dlaczego” i „jak” prowadzi się pewne czynności przetwarzania danych. Należy dodać, że „Sposoby” nie odnoszą się tylko do technicznych sposobów przetwarzania danych osobowych, ale także do tego „jak” odbywa się przetwarzanie, co obejmuje zagadnienia „które dane się przetwarza”, „jakie osoby trzecie mają dostęp do tych danych”, „kiedy usuwa się dane" itd.
Przekładając to na prostszy język - jeżeli masz władzę nad zbiorami/zestawieniami/systemami danych - to znaczy, że jesteś ich administratorem.
Bycie administratorem danych wynika przede wszystkim z okoliczności faktycznej, w której podmiot podjął decyzję o przetwarzaniu danych osobowych dla własnych celów. Co do zasady nie można w umowie określić kto w danej realacji będzie administratorem, jeżeli w rzeczywistości cele i sposoby określane są przez podmiot, który nie został oznaczony jako administrator.
Trzeba pamiętać też o tym, że prawo może wyraźnie określać kryteria uznania podmiotu - w określonej relacji - za administratora.
Pracodawca w odniesieniu do danych dotyczących jego pracowników;
Wydawca w odniesieniu do danych dotyczących abonentów;
Stowarzyszenie w odniesieniu do danych dotyczących jego członków lub osób wspierających.
Przedsiębiorstwo ABC zawiera umowy z różnymi organizacjami w celu prowadzenia kampanii marketingu mailowego i prowadzenia listy płac. Wydaje jasne instrukcje (jakie materiały marketingowe wysyłać i do kogo, komu płacić, jakie kwoty, do kiedy itd.). Chociaż organizacjom przysługuje pewna swoboda (w tym w kwestii, jakie oprogramowanie stosować), ich zadania są dość jasno i ściśle określone, i mimo że firma mailingowa może udzielać porad (np. odradzać wysyłanie przesyłek reklamowych w sierpniu), organizacje są zobowiązane postępować zgodnie z instrukcjami ABC. Ponadto tylko jeden podmiot, przedsiębiorstwo ABC, jest uprawniony do korzystania z przetwarzanych danych – wszystkie inne podmioty muszą opierać się na podstawie prawnej przedsiębiorstwa ABC w przypadku zakwestionowania ich zdolności prawnej do przetwarzania danych. W tym przypadku jasne jest, że przedsiębiorstwo ABC jest administratorem danych, a każdą z odrębnych organizacji można uznać za przetwarzający w odniesieniu do konkretnego przetwarzania danych prowadzonego w jego imieniu.
Przedsiębiorstwo MarketinZ świadczy usługi z zakresu reklamy promocyjnej i marketingu bezpośredniego dla różnych firm. Przedsiębiorstwo GoodProductZ zawiera umowę z MarketinZ, zgodnie z którą przedsiębiorstwo MarketinZ świadczy usługi reklamy komercyjnej dla klientów GoodProductZ i jest nazywane przetwarzającym dane. MarketinZ postanawia jednak wykorzystać bazę danych klientów GoodProductZ również w celu promowania produktów innych klientów. Decyzja, aby dołączyć dodatkowy cel do celu, w którym przekazano dane osobowe, zmienia MarketinZ w administratora danych dla celów danej operacji przetwarzania.
Właściciel budynku zawiera umowę z firmą ochroniarską, w wyniku której firma instaluje kamery w różnych częściach budynku w imieniu administratora danych. Cele nadzoru wideo oraz sposób, w jaki gromadzi się i przechowuje obrazy, są określane wyłącznie przez właściciela budynku, którego z tego względu należy uznać za jedynego administratora danych w odniesieniu do tej operacji przetwarzania danych.
Przedsiębiorstwo Headhunterz Ltd pomaga Enterprize Inc w rekrutacji nowych pracowników. Umowa wyraźnie stanowi, że „Headhunterz Ltd działa w imieniu Enterprize i że przy przetwarzaniu danych osobowych działa jako przetwarzający. Enterprize jest „jedynym administratorem danych”. Sytuacja Headhunterz Ltd nie jest jednak jednoznaczna: z jednej strony pełni rolę administratora danych w stosunku do osób poszukujących pracy, z drugiej strony zakłada, że jest przetwarzającym, działającym w imieniu administratorów danych, takich jak Enterprize Inc i innych przedsiębiorstw poszukujących pracowników za jego pośrednictwem. Ponadto Headhunterz – wraz z jego słynną usługą dodaną „globalnego dopasowania” − szuka odpowiednich kandydatów zarówno wśród CV otrzymywanych bezpośrednio od Enterprize, jak i wśród tych, które już posiada w swojej obszernej bazie danych. Dzięki temu, Headhunterz, które zgodnie z umową otrzymuje wynagrodzenie tylko za faktycznie podpisane umowy, zwiększa dopasowanie ofert pracy do osób poszukujących pracy, zwiększając tym samym swoje dochody. Na podstawie powyższych informacji można stwierdzić, że mimo przypisanej mu roli w umowie Headhunterz Ltd należy uznać za administratora danych, który administruje wspólnie z Enterprize Inc przynajmniej tymi grupami operacji, które odnoszą się do rekrutacji Enterprize.
Biuro podróży przesyła dane osobowe swoich klientów do linii lotniczych i sieci hoteli, w celu rezerwacji pakietów turystycznych. Linia lotnicza i hotel potwierdzają dostępność żądanych miejsc. Biuro podróży wystawia dokumenty i potwierdzenia dla swoich klientów. W tym przypadku, biuro podróży, linia lotnicza i hotel będą trzema odrębnymi administratorami danych, z których każdy podlega obowiązkom ochrony danych w odniesieniu do przetwarzania danych osobowych we własnym zakresie.
Portale administracji elektronicznej działają jako pośrednicy pomiędzy obywatelami a jednostkami administracji publicznej: portal przekazuje wnioski obywateli i przechowuje dokumenty jednostki administracji publicznej do chwili wycofania ich przez obywateli. Każda jednostka administracji publicznej pozostaje administratorem danych przetwarzanych do jej własnych celów. Niemniej jednak sam portal również można uznać za administratora danych. Przetwarza on bowiem (tj. gromadzi i przekazuje właściwej jednostce) wnioski obywateli oraz publiczne dokumenty (tj. przechowuje je i reguluje do nich dostęp, jak pobieranie ich przez obywateli) do innych celów (ułatwienie usług administracji elektronicznej) niż cele, dla których dane były początkowo przetwarzane przez każdą jednostkę administracji publicznej. Powyżsi administratorzy danych, obok innych obowiązków, będą musieli dopilnować, aby system przekazywania danych osobowych od użytkownika do systemu administracji publicznej był bezpieczny, ponieważ w skali makro to przekazywanie danych jest zasadniczym elementem grupy operacji przetwarzania danych przeprowadzonych w ramach portalu.
Dostawcy usługi portalu społecznościowego zapewniają platformy komunikacji online, które umożliwiają osobom publikowanie informacji i wymienianie ich z innymi użytkownikami. Powyżsi dostawcy usług są administratorami danych, ponieważ określają zarówno cele, jak i sposoby przetwarzania takich informacji. Użytkownicy takich portali, zamieszczając dane osobowe również stron trzecich, byliby uznani za administratorów danych, pod warunkiem że ich działania nie są objęte tzw. „wyłączeniem do celów domowych”.
Po zalogowaniu się otrzymasz dostęp wzoru umowy powierzenia oraz fragmentu szkolenia dot. zagadnienia umowy
