umowa powierzenia

Umowa powierzenia przetwarzania danych osobowych w 11 krokach

Umowa powierzenia przetwarzania danych osobowych w 11 krokach

Administrator danych osobowych, który chce powierzyć dane osobowe firmie zewnętrznej, musi zawrzeć z nią umowę powierzenia przetwarzania danych osobowych. O umowie tej powiedziano i napisano już bardzo wiele, niemniej jednak nadal temat ten jest problematyczny w praktyce, czego dowodzą kary wymierzane przez Prezesa UODO. Podpowiadamy, jak zawrzeć umowę powierzenia przetwarzania danych i prezentujemy przykładowe rozwiązania.

wytyczne EROD

Administrator czy podmiot przetwarzający – analizujemy wytyczne EROD

Jakie kryteria świadczą o tym, że dana organizacja ma status administratora danych osobowych? Kiedy natomiast staje się ona procesorem? Jak powinny wyglądać relacje pomiędzy administratorem a procesorem? Odpowiedź na te pytania nie jest łatwa. Na szczęście wiele wskazówek w tym zakresie można znaleźć w wytycznych Europejskiej Rady Ochrony Danych. Specjalnie dla naszych Czytelników analizujemy i wyciągamy wnioski z wytycznych EROD nr 7/2020 w sprawie pojęć administratora, współadministratora i podmiotu przetwarzającego.

O jakie wytyczne chodzi

7 lipca 2021 r. Europejska Rada Ochrony Danych przyjęła wytyczne nr 7/2020 w sprawie pojęć administratora, współadministratora i podmiotu przetwarzającego, które mają pomóc w identyfikacji tych podmiotów. W wytycznych zwrócono szczególną uwagę na zakres praw i obowiązków ADO i procesora, zarówno jako podmiotów odrębnych jak i we wzajemnej relacji.

W wytycznych podkreślono, że odpowiedzialność za przestrzeganie RODO leży zarówno po stronie administratora, jak i podmiotu przetwarzającego.

O powstawaniu wytycznych EROD przeczytasz tutaj>>

Korzyści 

Z artykułu dowiesz się m.in.:

  • jakie czynniki decydują o statusie administratora,
  • jak zidentyfikować podmiot przetwarzający,
  • jakie powinny być wzorcowe relacje pomiędzy ADO a procesorem,
  • na co zwrócić uwagę w umowie powierzenia,
  • kim jest odbiorca i strona trzecia.
fundusze

Umowa powierzenia pomiędzy beneficjentem projektu a instytucją zarządzającą

Pytanie:  Beneficjent projektów resortowych musi przekazać do instytucji zarządzającej (instytucji przyznającej wydatki) skany umów i rachunków wykonawców, świadczących usługi w projekcie (w celu rozliczenia wydatków). Widnieją na nich dane osobowe. Na jakiej podstawie prawnej beneficjent może przekazać takie dane, jeśli nie została między beneficjentem a instytucją zarządzającą podpisana umowa powierzenia danych?
służba zdrowia

Powierzenie przetwarzania danych w służbie zdrowia

Jeżeli placówka medyczna zamierza przekazać dane osobowe pacjenta innemu podmiotowi, wówczas staje przed dylematem – czy zawrzeć umowę powierzenia, czy też nie jest to konieczne? Zależy to oczywiście od konkretnych okoliczności, ale także przepisów regulujących działalność podmiotów leczniczych.

Powierzenie a udostępnienie danych – jak rozróżnić

Przetwarzanie w imieniu administratora powinno się odbywać z udziałem procesora. Podstawą jest tu najczęściej umowa powierzenia przetwarzania danych, ewentualnie inny instrument prawny. Jeśli placówka medyczna przekazuje dane osobowe innemu podmiotowi, musi ustalić, czy dochodzi do takiego powierzenia.

W pierwszej kolejności warto upewnić się, czym różni się powierzenie przetwarzania danych od ich udostępnienia a także upoważnienia do przetwarzania. W rozróżnieniu pomoże odpowiednie zestawienie – kliknij tutaj>>

Następnie analiza stanu faktycznego

Placówka medyczna powinna poddać indywidualnej analizie każdy przypadek. W analizie tej należy uwzględniać:

  • przepisy regulujące działalność podmiotów leczniczych oraz
  • stan faktyczny, w którym funkcjonują podmioty, między którymi dochodzić ma do przepływu danych.

Analiza ta powinna pomóc uzyskać odpowiedzi na pytania:

  • kto i jakie dane osobowe przetwarza oraz
  • kto i jakie zadania (cele) realizuje.

Dzięki temu będzie można ustalić:

  • do którego z podmiotów należą poszczególne czynności,
  • który podmiot decyduje o celach przetwarzania,
  • czy któryś z podmiotów działa na zlecenia administratora i realizuje jego cele,,
  • czy podmioty wspólnie ustalają cele i sposoby przetwarzania.
Korzyści 

Z artykułu dowiesz się m.in.:

  • jakie kryteria decydują o statusie administratora i podmiotu przetwarzającego w służbie zdrowia,
  • jakie wnioski można wysnuć z wytycznych EROD,
  • w jakich konkretnych przypadkach należy zawrzeć umowę powierzenia przetwarzania,
  • jakie dodatkowe obowiązki spoczywają na procesorze w sektorze medycznym.
podatki

Inkasent – ADO czy procesor

Inkasent to podmiot, który pobiera podatki i opłaty lokalne w imieniu organu prowadzącego. W tym celu przetwarza oczywiście dane osobowe. Jaki jest więc jego status? Sprawdź, czy inkasent jest administratorem czy też procesorem.

strona BIP

Jakie dane osobowe w umowie powierzenia w związku z prowadzeniem BIP

Każda umowa powierzenia przetwarzania musi określać zakres danych osobowych podlegających przekazaniu do procesora. Dotyczy to także umów zawieranych w celu obsługi Biuletynu Informacji Publicznej. Sprawdź jakie kategorie danych osobowych powinny być wskazane w umowie powierzenia zawieranej w celu prowadzenia strony BIP?

umowa powierzenia przetwarzania

Kiedy rozwiązać umowę powierzenia przetwarzania danych

W niektórych przypadkach zachodzi konieczność zakończenia współpracy z podmiotem przetwarzającym. Rodzi to konieczność rozwiązania umowy powierzenia przetwarzania. Sprawdź, w jakich przypadkach rozwiązać umowę powierzenia i czy samo rozwiązanie jest wystarczające.

Administrator ponosi odpowiedzialność za procesora

Za poczynania podmiotu przetwarzającego odpowiada administrator danych osobowych. Dlatego ADO powinien weryfikować:

  • czy podmiot przetwarzający daje gwarancję działania zgodnie z RODO jeszcze przed powierzeniem mu danych osobowych do przetwarzania;
  • czy działania podmiotu przetwarzającego są zgodne z przepisami RODO tj. podmiot przetwarzający prawidłowo realizuje swoje obowiązki (w tym celu warto przeprowadzać okresowo audyty u procesora z celu weryfikacji, czy postępuje on zgodnie z umową).

ADO może rozważać rozwiązanie umowy powierzenia

Jeżeli wyniki audytu przeprowadzonego u procesora nie zadowalają administratora, wówczas warto rozważyć zaprzestanie korzystania z usług podmiotu przetwarzającego. Aby doprowadzić do tego, by procesor zaprzestał przetwarzania danych osobowych przekazywanych przez administratora, należy zaś rozwiązać umowę powierzenia przetwarzania danych.

Jeżeli administrator uzna, że podmiot przetwarzający nie spełnia standardów dotyczących przetwarzania danych osobowych, to powinien doprowadzić do zatrzymania ich przetwarzania przez procesora.

Zwykle umowy powierzenia przetwarzania danych są zawierane na okres trwania współpracy  pomiędzy stronami (wynikającej np. z odrębnej umowy o świadczenie usług). W praktyce w umowach powierzenia wskazuje się przypadki, w których możliwe jest wypowiedzenie.

Naruszenia ochrony danych powinny zaalarmować administratora

Przede wszystkim należy rozważyć rozwiązanie umowy powierzenia w sytuacji, w której procesor lub jego personel doprowadził do naruszenia ochrony danych objętych powierzeniem. Z drugiej strony nie każde naruszenie ochrony danych czyni zasadnym rozwiązanie umowy powierzenia. Może bowiem okazać się, że do naruszenia doszło nawet jeśli podmiot przetwarzający dochował należytej staranności i postępował zgodnie z umową. Innymi słowy, nie warto rozwiązywać umowy powierzenia przetwarzania danych, gdy podmiot przetwarzający działał prawidłowo i wdrożył wszystkie niezbędne zabezpieczenia, zaś zagrożenia nie można było przewidzieć i mu przeciwdziałać.

Po otrzymaniu informacji o naruszeniu administrator powinien ocenić jego istotność, zweryfikować przyczyny wystąpienia naruszenia oraz oszacować ewentualne skutki. W związku z tym powinien także zweryfikować prawidłowość działań podmiotu przetwarzającego.

Korzyści 

W artykule przeczytasz m.in. o:

  • nakazaniu zaprzestania przetwarzania danych,
  • rozwiązaniu umowy powierzenia w związku z audytem,
  • rozwiązaniu umowy powierzenia w przypadku naruszenia ochrony danych,
  • konsekwencja nieprzestrzegania umowy przez procesora.
umowa podpowierzenia

Umowa podpowierzenia przetwarzania danych od podszewki

Umowa podpowierzenia czy też dalszego powierzenia danych osobowych nie powinna być bagatelizowana. Wszak w realiach biznesowych podpowierzenie danych jest powszechnym zjawiskiem, nawet jeśli nie zdajemy sobie z tego sprawy. Jej właściwe uregulowanie gwarantuje bezpieczeństwo danych osobowych, za co odpowiada nie tylko procesor, ale i administrator tych danych. Sprawdź, jak zawrzeć właściwą umowę powierzenia, w szczególności zabezpieczyć powierzane dane osobowe.

Czym jest podpowierzenie

Podpowierzenie to inaczej dalsze powierzenie przetwarzania danych osobowych przez procesora innym procesorom (a właściwie podprocesorom). W efekcie pomiędzy procesorem a podprocesorem powstaje relacja analogiczna do tej, która istnieje pomiędzy administratorem a procesorem. Podprocesor może korzystać z powierzonych mu danych osobowych jedynie w celu wykonania umowy wiążącej go z procesorem. Absolutnie nie wchodzi w grę wykorzystywanie tych danych przez podprocesora we własnych celach

Przykład: Firma B świadczy usługi w zakresie IT. Nie zajmuje się jednak tworzeniem stron internetowych. Firma A chce skorzystać z usług firmy B w zakresie IT, ale też tworzenia stron WWW. W efekcie firma B nawiązuje współpracę z firmą C, której zleca wykonanie tej strony. Działania te wiążą się z przekazaniem danych osobowych z firmy A do firmy B, a następnie z firmy B do firmy C. Relacja pomiędzy firmą B a firmą C to właśnie podpowierzenie przetwarzania danych. Co istotne, firma C nie może wykorzystywać przekazanych jej danych np. w celu promowania własnych usług względem podmiotów tych danych.

W takim przypadku konieczne jest zawarcie umowy podpowierzenia przetwarzania danych. Stroną takiej umowy nie jest jednak administrator, lecz procesor i podprocesor (dalszy procesor). Tak właśnie należy określić strony umowy powierzenia.

Korzyści 

Z artykułu dowiesz się:

  • czym jest podpowierzenie przetwarzania danych,
  • jakie elementy powinna zawierać umowa podpowierzenia,
  • jak zabezpieczyć interes administratora w umowie podpowierzenia,
  • kto odpowiada za podpowierzane dane. 

Nasi partnerzy i zdobyte nagrody » 

Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

© Portal Poradyodo.pl

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x