Przekazywanie danych w ramach systemu VoIP
Tak, jeżeli firma dostarczająca usługę VoIP będzie przetwarzała dane osobowe, których administratorem jest jej klient.
Jeżeli firma dostarczająca usługę VoIP w związku ze świadczoną pomocą informatyczną będzie korzystać z przetwarzanych przez dany podmiot danych osobowych (np. treści rozmów) to w zasadzie w każdym takim przypadku (np. serwisowania urządzeń sieciowych, monitorowania ruchu sieciowego itd.) będzie dochodziło do przetwarzania danych osobowych. W takich przypadkach konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych, w której przedszkole będzie administratorem danych osobowych a ta firma procesorem (podmiotem przetwarzającym).
Ponieważ firma informatyczna przetwarzająca dane osobowe wyłącznie w związku z wykonywaniem świadczeń z umowy nie realizuje własnych celów przetwarzania, nie jest spełniona żadna z przesłanek z art. 6 ust. 1 RODO a tym samym nie można przekazać danych osobowych tej firmie w ramach udostępnienia danych (zamiast powierzenia). Nie zachodzi tu także przypadek z art. 6 ust. 2 lit. b RODO bowiem do wykonywania umowy jest niezbędny dostęp do danych także innych osób niż strony umowy. Tym samym zawarcie umowy powierzenia jest niezbędne.
Zgodnie z art. 4 pkt 2 RODO za przetwarzanie uważa się bowiem operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Dane osobowe powierza się do przetwarzania innemu podmiotowi tylko w określonym celu (i często jedynie na pewien czas). Do powierzenia danych osobowych dochodzi w drodze zawarcia umowy o powierzeniu przetwarzania danych osobowych. Sama umowa nie musi koniecznie być odrębnym dokumentem. Bardzo często umowa o powierzeniu przetwarzania danych osobowych stanowi element innej umowy „głównej”, np. umowy zlecenia czy o dzieło. W Państwa przypadku może stanowić element (np. załącznik) umowy o świadczenie usług teleinformatycznych.
Jeżeli umowy nie zawarto a mimo to doszło do przekazania danych osobowych to administrator danych może się narazić na zarzut przekazania danych osobie nieuprawnionej i odpowiedzialność karną.
Należy więc mieć świadomość tego, że zawarcie takiej umowy jest niezbędne zawsze, gdy ma dojść do przekazania innemu podmiotowi danych osobowych innych osób. Nie ma tu znaczenia cel, w jakim takiego przekazania danych administrator zamierza dokonać.
Co powinno znaleźć się w umowie
Umowa o powierzeniu przetwarzania danych osobowych powinna być zawarta w formie pisemnej lub elektronicznej. W treści umowy zawsze trzeba wskazać przede wszystkim przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą oraz obowiązki i prawa administratora a także pozostałe elementy wskazane w art. 28 ust. 3 RODO.
Rodzaj danych osobowych to określenie jakie dane zostają powierzone. Rodzaj powinien być precyzyjnie wskazany albo poprzez wyliczenie kategorii danych (np. imię, nazwisko, numer telefonu) albo opisowo, ale precyzyjnie (np. „ w zakresie niezbędnym do realizacji umowy z dnia 15 czerwca 2019 r. o świadczeniu usług teleinformatycznych”). Wierzyciel jako administrator danych osobowych może powierzyć przetwarzanie danych osobowych podmiotowi trzeciemu bez zgody osoby, której dane są powierzane. Nie trzeba także nawet informować takiej osoby o powierzeniu danych.
Kiedy umowa powierzenia nie musi być zawarta
Jeżeli natomiast podmiot serwisujący nie przetwarza danych osobowych z nagranych rozmów i w żaden inny sposób, wówczas nie będzie potrzeby powierzenia przetwarzania danych osobowych. Należy jednak taką sytuację dokładnie przeanalizować. Może się bowiem okazać, że w ramach czynności serwisowych (np. diagnostycznych) serwis pozna treść rozmów "na żywo", będzie przetwarzał dane osobowe z elektronicznej książki telefonicznej czy uzyska dostęp do danych zapisanych w pamięci urządzeń (np. plików wyświetlanych na monitorze w toku wideokonferencji itp.). Dopiero jeżeli rzeczywiście czynności serwisowe nie wymagają przetwarzania danych osobowych to można zaniechać zawierania umowy powierzenia.
- Udostępnienie danych osobowych na żądanie zakładu ubezpieczeń – w jakich przypadkach
- Weryfikacja niekaralności w Krajowym Rejestrze Karnym i Rejestrze Sprawców Przestępstw na Tle Seksualnym – czy dotyczy także niepełnoletnich
- Udostępnienie danych osobowych właścicieli lokali – kiedy spółdzielnia musi to zrobić
- Przenoszenie baz danych – czy konieczna umowa powierzenia przetwarzania
- Inspektor ochrony danych dla urzędu i samorządowych jednostek organizacyjnych
- Dostęp do danych osobowych dla pełnomocnika
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
