Administrator danych osobowych to podmiot, który decyduje o celach i środkach ich przetwarzania. Z kolei procesor przetwarza dane osobowe jedynie „na polecenie” administratora i sam nie może z nich korzystać we własnych celach. Jaki status w związku z tym będzie miała księgowa prowadząca biuro rachunkowe? Czy rozpoczynając współpracę z księgową, należy zawrzeć umowę powierzenia przetwarzania danych osobowych? Wyjaśnienie w artykule.

Administrator danych osobowych, który chce powierzyć dane osobowe firmie zewnętrznej, musi zawrzeć z nią umowę powierzenia przetwarzania danych osobowych. O umowie tej powiedziano i napisano już bardzo wiele, niemniej jednak nadal temat ten jest problematyczny w praktyce, czego dowodzą kary wymierzane przez Prezesa UODO. Podpowiadamy, jak zawrzeć umowę powierzenia przetwarzania danych i prezentujemy przykładowe rozwiązania.

Pytanie:  Prowadzę biuro rachunkowe. Nie zatrudniam pracowników ani zleceniobiorców. Świadczę obsługę kadrowo-płacową na zlecenie moich klientów i w związku z tym przetwarzam dane osobowe ich pracowników. Czy zgodnie z RODO do moich obowiązków należy uzyskanie zgody od pracowników klienta na przetwarzanie ich danych osobowych?

Pytanie:  Na podstawie umowy powierzenia procesor może powierzać przetwarzanie danych osobowych dalszym podmiotom w drodze pisemnej umowy. Czy właściwe jest określenie w takiej umowie, że umowa dalszego powierzenia przetwarzania danych osobowych, których administratorem danych jest firma X, zostaje zawarta pomiędzy procesorem a dalszym podmiotem przetwarzającym? Czy też w stosunku do procesora można użyć określenia powierzający, a w stosunku do dalszego podmiotu przetwarzającego przetwarzający?

Pytanie:  Podmiot publiczny realizuje zadania związane z budową dróg. Do czasu ostatecznego oddania inwestycji drogowej za uszkodzenia pojazdów na tych drogach odpowiada wykonawca. W związku z uszkodzeniami pojazdów prywatnych na tych drogach do podmiotu publicznego wpływają o odszkodowania, czasem zawierające dane wrażliwe (dokumentacja medyczna). Podmiot publiczny przekazuje wnioski do wykonawcy, a on potem do firm ubezpieczających. Czy podmiot publiczny powinien mieć zgodę od poszkodowanego na przekazanie jego danych do wykonawcy? Czy potrzebna jest umowa powierzenia z wykonawcą?

Pytanie:  Spółdzielnia mieszkaniowa zamierza od maja 2018 roku korzystać z usług firmy ochroniarskiej. Pracownicy firmy ochroniarskiej złożyli oświadczenia o poufności.

Pytanie:  Firma przetwarza dane osobowe powierzone przez administratora danych w drodze umowy powierzenia. Jak należy zdefiniować podprocesora? Czy każdy podmiot współpracujący z firmą, której powierzono przetwarzanie danych, na podstawie jednoosobowej działalności gospodarczej powinien być zdefiniowany jako podprocesor?

Pytanie:  Otrzymałam dane osobowe pracowników (imię i nazwisko) od firmy, dla której prowadziłam szkolenie, w celu wystawienia certyfikatu potwierdzającego udział w szkoleniu. Czy takie działanie jest przetwarzaniem danych osobowych? Jakie obowiązki wynikają z takiego działania na mocy ogólnego rozporządzenia o ochronie danych (RODO)?

O 25 maja 2018 r. zaczniemy w praktyce stosować ogólne rozporządzenie o ochronie danych (RODO). Wśród wielu obowiązków nakładanych na administratora danych ustawodawca unijny przewidział nową podstawę prawną powierzenia przetwarzania danych osobowych, wskazując – obok umowy powierzenia – na „inny instrument prawny”. Dowiedz się, czym jest inny instrument prawny i którzy administratorzy będą mogli z niego skorzystać.

Zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) umowy z podmiotem przetwarzającym muszą wzbogacić się o nowe zapisy. Dowiedz się, jakie regulacje możesz zawrzeć w nowej umowie powierzenia przetwarzania danych osobowych zgodnej z RODO. Sprawdź, czy bardzo będą różniły się one od postanowień, które funkcjonują obecnie.