umowa powierzenia przetwarzania danych osobowych

Czy grupa spółek może stosować jedną wspólną klauzulę informacyjną RODO?

Wspólna klauzula informacyjna RODO dla współadministratorów – czy to dopuszczalne?

Pytanie:  Grupę spółek prowadzących działalność na terenie Polski łączy umowa o współadministrowaniu danymi osobowymi. Każda ze spółek, wypełniając obowiązek informacyjny z art. 13 i 14 RODO, kieruje do osób fizycznych - w przypadkach przewidzianych przepisami prawa - klauzule informacyjne (ich treść różni się w zależności od celów I podstaw przetwarzania), w których wskazuje siebie jako administratora danych, a pozostałe spółki jako współadministratorów. W związku z tym obecnie posiadamy tyle klauzul, ile spółek realizuje dany cel przetwarzania. Zależy nam jednak na uszczupleniu dokumentacji. Zastanawiamy się, czy w świetle RODO konieczne jest, aby każda spółka posiadała własną, odrębną klauzulę informacyjną, w której wskazuje siebie jako administratora i pozostałe podmioty jako współadministratorów, czy też dopuszczalne jest stosowanie jednej, wspólnej i uniwersalnej klauzuli informacyjnej dla wszystkich spółek objętych porozumieniem o współadministrowaniu, w której wskazuje się, że: 1)     współadministratorami danych osoby, której dane dotyczą, są: [lista spółek], zamiast przygotowywania odrębnej klauzuli dla każdej spółki, lub 2)     ADO są wszyscy współadministratorzy i jednocześnie opisuje się zasadę przypisania roli administratora w zależności od celu przetwarzania, np.: „Administratorem danych w procesie rekrutacji jest spółka prowadząca konkretny proces rekrutacyjny w danym momencie, a pozostałe spółki pełnią funkcję współadministratorów” (opisowo, bez podawania danych konkretnej spółki), zamiast wymieniać konkretne spółki w każdym przypadku. Zakładamy przy tym, że punkt kontaktowy do realizacji praw osób, których dane dotyczą, będzie wspólny dla wszystkich spółek. Czy takie rozwiązanie byłoby prawidłowe lub o wskazanie innego alternatywnego rozwiązania, które uprościłoby dokumentację spółek w zakresie obowiązku informacyjnego. Chodzi zwłaszcza o klauzule kierowane do osób zatrudnianych, przyszłych pracowników.  
Korzyści 

Z porady dowiesz się m.in.:

1. Czy grupa spółek może stosować jedną wspólną klauzulę informacyjną RODO?

2. Jakie warunki musi spełniać wspólna klauzula informacyjna?

3. Czy w klauzuli informacyjnej można opisać rolę administratora bez wskazania konkretnej spółki?

4. Co mówi RODO o uzgodnieniach między współadministratorami?

Jak legalnie przekazywać dane pracowników między podmiotami medycznymi

Jak legalnie przekazywać dane między podmiotami medycznymi

Pytanie:   Występują dwa podmioty medyczne - jeden zleca drugiemu świadczenia na badania mikrobiologiczne. Zleceniobiorca wykonuje badania jednak do identyfikacji używa nr PESEL (program wymaga tego w celu właściwego działania - dla jednoznacznego zidentyfikowania wykonawców). Obydwie strony upoważnią pracowników do obsługi systemu (w tym dostępu do np. PESEL pracowników drugiego podmiotu). Czy w takim przypadku rozwiązaniem może być odpowiednia umowa powierzenia wraz ze wskazaniem upoważnionych pracowników zleceniodawcy do dostępu do danych wraz z poinformowaniem pracowników zleceniobiorcy o udostępnianiu ich danych w postaci PESEL (dodatkowo jaka będzie podstawa przetwarzania - zgoda najmniej pożądana ze względu na możliwości cofnięcia)?
Korzyści 
  • Czy w medycynie można przekazywać numer PESEL bez zgody pacjenta?
  •  Jakie są podstawy prawne przetwarzania numeru PESEL w badaniach medycznych? 
  • Czy umowa powierzenia przetwarzania danych jest wymagana przy współpracy podmiotów medycznych? 
  • Jakie obowiązki informacyjne spoczywają na administratorze danych w medycynie? 
  • Czy pracownicy podmiotu przetwarzającego mogą mieć dostęp do numeru PESEL? 
  •  Jakie są konsekwencje przetwarzania PESEL bez odpowiedniej podstawy prawnej? 
  • Czy przetwarzanie danych o zdrowiu wymaga dodatkowych zezwoleń? 
  •  Jakie środki bezpieczeństwa należy zapewnić przy przekazywaniu danych medycznych? 
  • Czy upoważnienia pracowników do obsługi systemu są wystarczające do przetwarzania PESEL? 
  • Jakie są różnice między administratorem a podmiotem przetwarzającym dane w medycynie?
kancelaria odszkodowawcza

Zakres danych w umowie powierzenia przetwarzania danych osobowych wg RODO - co musi zawierać

Przekazanie danych przez administratora kontrahentowi, który nie ma własnego celu i podstawy przetwarzania, wymaga zawarcia umowy powierzenia przetwarzania danych. Rodzi się pytanie, w jaki sposób zdefiniować w umowie powierzenia danych osobowych zakres czyli rodzaj przekazywanych danych. Zakres ten w przypadku ramowej umowy o współpracy może być bowiem bardzo szeroki. Wskazujemy, w jaki sposób można określić rodzaj (zakres) danych osobowych w związku z powierzeniem przetwarzania danych.

9c2297ae9e33b2a27c1eaac2d0f5b31c5b5fd041-xlarge (1)

Umowa powierzenia przetwarzania danych a kontrasygnata skarbnika gminy

Jeżeli umowa, którą zawiera gmina, pociąga za sobą pojawienie się zobowiązań finansowych, wówczas wymaga ona jest kontrasygnaty w celu jej skuteczności. Czy taka kontrasygnata musi również obejmować umowę dotyczącą powierzenia przetwarzania danych zawartą przez tę jednostkę? Upewnij się, czy kontrasygnata jest niezbędna do zawarcia umowy powierzenia przetwarzania danych. 

9c2297ae9e33b2a27c1eaac2d0f5b31c5b5fd041-xlarge (7)

Umowa powierzenia przetwarzania danych z przedsiębiorstwem komunalnym – czy konieczna

Pytanie:  Rada gminy upoważniła przedsiębiorstwo komunalne do wykonywania zadań wynikających z ustawy o utrzymaniu czystości i porządku w gminach. Czy w związku z tym konieczne jest zawarcie z tym przedsiębiorstwem umowy powierzenia przetwarzania danych?
0a81970db2e90f3a06aba67469f55ea99dfc7991-xlarge (2)

Organizacja eventu a powierzenie przetwarzania danych

Pytanie:  Wykonawca organizuje event w siedzibie zamawiającego. W związku z tym zamawiający przekazuje wykonawcy dane osobowe pracowników m.in. obsługi technicznej. Wykonawca musi akredytować pracowników zamawiającego, akceptując ich obecność podczas eventu. Czy w związku z tym zamawiający zawiera z wykonawcą umowę powierzenia przetwarzania danych?
cb1c10b0cab4ed16035d131ecd7bd193ae4ed83f-xlarge

Szkolenie pracowników – nie zawsze dojdzie do powierzenia przetwarzania danych

Czy szkolenie pracowników wymaga powierzenia przetwarzania danych, czy też dochodzi do ich udostępnienia? Nie ma jednoznacznej odpowiedzi na to pytanie. Wszystko zależy od okoliczności danego przypadku, w tym relacji pomiędzy pracodawcą a organizatorem szkolenia.

rachunkowość

Kara za brak umowy powierzenia i niesprawdzenie procesora

Brak pisemnej umowy powierzenia przetwarzania był przyczyną wymierzenia kary pieniężnej jednemu z ośrodków kultury. Administratorowi zarzucono też niedokonanie weryfikacji podmiotu przetwarzającego.

Podcast: Jak powierzyć przetwarzanie danych

Powierzenie przetwarzania danych to ważna decyzja administratora. Musi on bowiem wiedzieć, czy takie powierzenie jest właściwe, a także jak to zrobić w zgodzie z RODO i w zapewnieniu bezpieczeństwa danych.

obsługa kadrowa

Umowa zlecenia a powierzenie przetwarzania danych – w jakich przypadkach

Pytanie:  Czy do umów zlecenia dla osób fizycznych np: z obsługą kadrową należy dołączyć umowę powierzenia danych osobowych?
umowa powierzenia przetwarzania

Kiedy rozwiązać umowę powierzenia przetwarzania danych

W niektórych przypadkach zachodzi konieczność zakończenia współpracy z podmiotem przetwarzającym. Rodzi to konieczność rozwiązania umowy powierzenia przetwarzania. Sprawdź, w jakich przypadkach rozwiązać umowę powierzenia i czy samo rozwiązanie jest wystarczające.

Administrator ponosi odpowiedzialność za procesora

Za poczynania podmiotu przetwarzającego odpowiada administrator danych osobowych. Dlatego ADO powinien weryfikować:

  • czy podmiot przetwarzający daje gwarancję działania zgodnie z RODO jeszcze przed powierzeniem mu danych osobowych do przetwarzania;
  • czy działania podmiotu przetwarzającego są zgodne z przepisami RODO tj. podmiot przetwarzający prawidłowo realizuje swoje obowiązki (w tym celu warto przeprowadzać okresowo audyty u procesora z celu weryfikacji, czy postępuje on zgodnie z umową).

ADO może rozważać rozwiązanie umowy powierzenia

Jeżeli wyniki audytu przeprowadzonego u procesora nie zadowalają administratora, wówczas warto rozważyć zaprzestanie korzystania z usług podmiotu przetwarzającego. Aby doprowadzić do tego, by procesor zaprzestał przetwarzania danych osobowych przekazywanych przez administratora, należy zaś rozwiązać umowę powierzenia przetwarzania danych.

Jeżeli administrator uzna, że podmiot przetwarzający nie spełnia standardów dotyczących przetwarzania danych osobowych, to powinien doprowadzić do zatrzymania ich przetwarzania przez procesora.

Zwykle umowy powierzenia przetwarzania danych są zawierane na okres trwania współpracy  pomiędzy stronami (wynikającej np. z odrębnej umowy o świadczenie usług). W praktyce w umowach powierzenia wskazuje się przypadki, w których możliwe jest wypowiedzenie.

Naruszenia ochrony danych powinny zaalarmować administratora

Przede wszystkim należy rozważyć rozwiązanie umowy powierzenia w sytuacji, w której procesor lub jego personel doprowadził do naruszenia ochrony danych objętych powierzeniem. Z drugiej strony nie każde naruszenie ochrony danych czyni zasadnym rozwiązanie umowy powierzenia. Może bowiem okazać się, że do naruszenia doszło nawet jeśli podmiot przetwarzający dochował należytej staranności i postępował zgodnie z umową. Innymi słowy, nie warto rozwiązywać umowy powierzenia przetwarzania danych, gdy podmiot przetwarzający działał prawidłowo i wdrożył wszystkie niezbędne zabezpieczenia, zaś zagrożenia nie można było przewidzieć i mu przeciwdziałać.

Po otrzymaniu informacji o naruszeniu administrator powinien ocenić jego istotność, zweryfikować przyczyny wystąpienia naruszenia oraz oszacować ewentualne skutki. W związku z tym powinien także zweryfikować prawidłowość działań podmiotu przetwarzającego.

Korzyści 

W artykule przeczytasz m.in. o:

  • nakazaniu zaprzestania przetwarzania danych,
  • rozwiązaniu umowy powierzenia w związku z audytem,
  • rozwiązaniu umowy powierzenia w przypadku naruszenia ochrony danych,
  • konsekwencja nieprzestrzegania umowy przez procesora.
tłumacz a umowa powierzenia

Pomoc dla cudzoziemców – czy PCPR powierza dane tłumaczowi

Pytanie:  PCPR zgodnie z art. 91 ustawy o pomocy społecznej udziela pomocy cudzoziemcom. Często są to osoby posługujące się językiem nieznanym pracownikom PCPR. W związku z powyższym PCPR zawarł z biurem tłumaczeń umowę na usługę tłumaczeń ustnych, które odbywają się na terenie PCPR, innych instytucji lub telefonicznie. PCPR nie przekazuje Wykonawcy danych osobowych. Czy w takim przypadku powinna być zawarta umowa powierzenia danych?
umowa powierzenia

Gdy procesor korzysta z serwerów podwykonawców …

Pytanie:  Gmina podpisała umowę z firmą na uruchomienie aplikacji mobilnej. Z firmą tą zawarto umowę powierzenia danych, lecz z informacji zawartych w specyfikacji umowy na usługę wynika, że firma ta korzysta z serwerów innych firm. Czy w takim wypadku gmina musi zawrzeć osobne umowy powierzenia z firmami które udostępniają serwery firmie realizującej usługę bezpośrednio dla gminy?
97cd2ba5cfb5dfac54f79bdedb8f4bea1ba434d4-xlarge (2)

Holding międzynarodowy – czy konieczne umowy powierzenia pomiędzy oddziałami

Pytanie:  Czy firma jako holding musi posiadać osobne umowy powierzenia danych dla poszczególnych oddziałów? Firma matka ma swoją siedzibę w jednym z krajów UE. Jej oddziały są natomiast ulokowane w innych krajach UE jak i poza Unią.
9c2297ae9e33b2a27c1eaac2d0f5b31c5b5fd041-xlarge (1)

Weryfikacja deklaracji śmieciowej przez szkołę - czy to konieczne

Pytanie:  Czy dyrektor szkoły powinien na żądanie urzędu gminy udzielić informacji o liczbie osób zamieszkałych w gospodarstwie domowym uczniów celem weryfikacji deklaracji śmieciowej?

Nasi partnerzy i zdobyte nagrody » 

Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

© Portal Poradyodo.pl

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x