Administrator danych osobowych, który chce powierzyć dane osobowe firmie zewnętrznej, musi zawrzeć z nią umowę powierzenia przetwarzania danych osobowych. O umowie tej powiedziano i napisano już bardzo wiele, niemniej jednak nadal temat ten jest problematyczny w praktyce, czego dowodzą kary wymierzane przez Prezesa UODO. Podpowiadamy, jak zawrzeć umowę powierzenia przetwarzania danych i prezentujemy przykładowe rozwiązania.
Pytanie: Pracodawca ma podpisaną umowę na obsługę medyczną pracowników. W ramach tej umowy placówka medyczna poprosiła, aby jeden z pracowników rozniósł i zbierał ankiety w związku z badaniami dla pracownik w wieku powyżej 40 lat. Czy w takiej sytuacji dojdzie do powierzenia przetwarzania danych?
Jakie kryteria świadczą o tym, że dana organizacja ma status administratora danych osobowych? Kiedy natomiast staje się ona procesorem? Jak powinny wyglądać relacje pomiędzy administratorem a procesorem? Odpowiedź na te pytania nie jest łatwa. Na szczęście wiele wskazówek w tym zakresie można znaleźć w wytycznych Europejskiej Rady Ochrony Danych. Specjalnie dla naszych Czytelników analizujemy i wyciągamy wnioski z wytycznych EROD nr 7/2020 w sprawie pojęć administratora, współadministratora i podmiotu przetwarzającego.
Pytanie: Beneficjent projektów resortowych musi przekazać do instytucji zarządzającej (instytucji przyznającej wydatki) skany umów i rachunków wykonawców, świadczących usługi w projekcie (w celu rozliczenia wydatków). Widnieją na nich dane osobowe. Na jakiej podstawie prawnej beneficjent może przekazać takie dane, jeśli nie została między beneficjentem a instytucją zarządzającą podpisana umowa powierzenia danych?
Przekazywanie danych osobowych do podmiotu zlokalizowanego poza Europejskim Obszarem Gospodarczym czyli państwa trzeciego wymaga zastosowania odpowiednich rozwiązań. Tylko w ten sposób transfer taki będzie legalny. Sprawdź, jak to zrobić.
Jeżeli placówka medyczna zamierza przekazać dane osobowe pacjenta innemu podmiotowi, wówczas staje przed dylematem – czy zawrzeć umowę powierzenia, czy też nie jest to konieczne? Zależy to oczywiście od konkretnych okoliczności, ale także przepisów regulujących działalność podmiotów leczniczych.
Udostępnić dane osobowe, powierzyć ich przetwarzanie, a może upoważnić do ich przetwarzania? Z takim dylematem mierzy się niejeden administrator. Niestety podjęcie właściwej decyzji bywa trudne i zależy od okoliczności danego przypadku. We właściwym wyborze pomóc może praktyczne zestawienie w tabeli.
Do 1 stycznia 2028 roku wszystkie jednostki administracji publicznej w Polsce mają obowiązek przejścia na pełną elektroniczną dokumentację. Kluczowym narzędziem wspierającym ten proces jest EZD RP – Elektroniczne Zarządzanie Dokumentacją Rzeczypospolitej Polskiej, czyli system umożliwiający prowadzenie spraw urzędowych w formie cyfrowej. Już teraz na jego serwerach przechowywane jest ponad 50 milionów plików. EZD RP stanowi odpowiedź na potrzebę budowy spójnej i bezpiecznej przestrzeni przetwarzania informacji publicznej, która jednocześnie ma znacząco zwiększyć efektywność działania instytucji. To duży krok ku sprawniejszej administracji – ale czy w ślad za efektywnością nie pojawią się także nowe zagrożenia dla prywatności i bezpieczeństwa danych?
04.03.2025
Otrzymuj raz w tygodniu aktualne informacje o zmianach w prawie oraz komentarze ekspertów
© Portal Poradyodo.pl
