Pielęgniarka i lekarz w szkole – czy podpisać z nimi umowy powierzenia
Najbezpieczniejszym rozwiązaniem dla szkoły będzie zawarcie umowy powierzenia przetwarzania danych osobowych z firmą zewnętrzną.
W przypadku korzystania z usług podmiotu zewnętrznego i konieczności przekazania temu podmiotowi danych osobowych administrator danych powinien – biorąc pod uwagę okoliczności faktyczne konkretnej sprawy – wybrać formę przekazania tych danych. Korzystanie z danych osobowych przez inne podmioty niż administrator danych może obywać się na zasadzie udostępnienia tych danych albo powierzenia przetwarzania danych.
Bez wątpienia firma zewnętrzna (dalej: wykonawca), będzie przetwarzała dane osobowe, które pozyska od szkoły. Oznacza to, że powinna mieć do tego ważną podstawę prawną. Może nią być:
- zgoda ucznia udzielana wykonawcy – wówczas administratorem danych będzie wykonawca,
- powierzenie wykonawcy przetwarzania danych osobowych ucznia, w stosunku do których szkoła jest administratorem – wówczas wykonawca jest jedynie tzw. procesorem,
- udostępnienie danych osobowych.
Czy trzeba zawierać umowę powierzenia
Powierzenie przetwarzania danych osobowych to jeden z dwóch, obok udostępnienia, sposobów uprawnienia innego podmiotu do przetwarzania danych osobowych, które ma administrator danych. Powierzenie przetwarzania danych osobowych pozwoli w łatwy i szybki sposób uprawnić do przetwarzania danych osobowych podmioty, które normalnie nie mogłyby tego robić (czyli wykonawcę, któremu uczniowie nie wyrazili przecież zgody na przetwarzanie ich danych osobowych). Podmiot, któremu dane zostały powierzone do przetwarzania, jest nazywany ogólnie procesorem (będzie nim wykonawca).
Umowa powierzenia przetwarzania danych osobowych powinna być zawarta w formie pisemnej lub elektronicznej. W treści umowy zawsze trzeba wskazać przede wszystkim zakres oraz cel powierzenia przetwarzania, ale i pozostałe elementy, o których mowa w art. 28 ogólnego rozporządzenia o ochronie danych (RODO).
Kiedy dochodzi do udostępnienia danych
Z kolei z udostępnieniem danych osobowych mamy do czynienia wyłącznie w sytuacji, gdy odbiorcą danych jest inny administrator danych, który wykorzystuje je do swoich własnych celów. W przypadku udostępnienia danych zarówno dotychczasowy, jak i nowy administrator danych powinni legitymować się jedną z przesłanek dopuszczalności przetwarzania danych. Przy tym podstawy przetwarzania danych mogą być inne dla dotychczasowego i nowego administratora. Z kolei w przypadku powierzenia danych osobowych procesor może przetwarzać przekazane dane osobowe wyłącznie w zakresie i celu przewidzianym w umowie. Powierzenie danych następuje bowiem w związku ze zleceniem procesorowi realizacji części zadań administratora. Powierzenie przetwarzania danych osobowych innemu podmiotowi nie oznacza, że ten podmiot staje się przez to ich administratorem. Status administratora danych posiada nadal powierzający dane.
- Przenoszenie baz danych – czy konieczna umowa powierzenia przetwarzania
- Inspektor ochrony danych dla urzędu i samorządowych jednostek organizacyjnych
- Transmisja obrad rady gminy – czy konieczna umowa powierzenia przetwarzania
- Badania lekarskie strażaków z OSP – kto administratorem danych osobowych
- Wyszukiwanie danych osobowych w darknecie na zlecenie – czy konieczna umowa powierzenia przetwarzania danych
- Umowa podpowierzenia przetwarzania danych w związku z realizacją projektu unijnego
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
