O biurze rachunkowym w roli administratora danych osobowych mówi się m.in. wówczas, gdy zatrudnia ono pracowników i przetwarza ich dane osobowe. Podmiot przetwarzający dane osobowe (procesor). Pracownicy biura rachunkowego pracują z dostarczonymi przez klienta dokumentami, tj. fakturami czy umowami, które w treści mogą zawierać dane Sprawdź, jakie masz prawa i obowiązki dotyczące ochrony danych osobowych, podpisując z firmą umowę ochrony danych osobowych w firmie, które powinni stosować pracownicy, omówiłem w poprzednim artykule. W branży IT bardzo popularne jest zatrudnienie w oparciu umowę B2B (tzw. samozatrudnienie), gdzie prace świadczone są na rzecz jednego klienta, w jego biurze i na udostępnionym przez niego sprzęcie. Tego rodzaju forma zatrudnienia posiada pewne odrębności, co do ochrony danych osobowych, w porównaniu do pracowników zatrudnionych na umowę o pracę. O jakie dane może prosić mnie firma? Katalog danych osobowych, jakie może pozyskiwać od nas firma, będzie określała sama umowa i co do zasady podstawą prawną będzie tu niezbędność do wykonania umowy, której jesteśmy stroną, a nie nasza zgoda (art. 6 ust. 1 lit b RODO).Do katalogu typowych danych, jakie będą przetwarzane w związku ze świadczeniem przez nas usług, będą należały najczęściej: dane kontaktowe oraz dane rozliczeniowe wskazane na fakturze (nazwa firmy, adres siedziby, NIP). Czasem, jeśli osobom B2B proponowane są jakieś dodatkowe nietypowe bonusy (np. karta MultiSport) lub środki ostrożności (np. GPS w służbowym aucie; monitoring poczty firmowej) firmy mogą wymagać dodatkowo naszej zgody na przetwarzanie tych nietypowych zwrócić uwagę, że jeżeli zostaniemy uznani za odrębnego administratora danych, my również powinniśmy w związku z podpisaniem umowy dołączyć do niej klauzulę informacyjną, którą firma powinna przekazać osobom, z którymi współpracujemy w ramach organizacji. W praktyce oczywiście ciężko wyobrazić sobie sytuacje, że w związku z naszym zatrudnieniem firma X informuje w mailu powitalnym, że współpracujemy jako B2B i podane zostają dane naszej działalności. Na pewno warto jednak rozważyć załączenie stosownej klauzuli informującej o nas jako administratorze oraz zobowiązać naszego klienta do przekazania tej informacji osobom, których dane będziemy przetwarzali w ramach współpracy, gdyż pierwsza kara nałożona przez UODO właśnie oparta została o niespełnienie obowiązku informacyjnego. Czy pracodawca może udostępniać moje dane osobowe innym osobom? Tak, wynika to często ze specyfiki organizacji i wykonywania samej umowy np. zewnętrzny dział IT lub księgowość. W przypadku dodatkowych danych np. zdjęcia na identyfikatorze – warto zwrócić uwagi na zapisy naszego kontraktu, gdzie często, nawet jeżeli nie będzie wprost powiedziane, że mamy obowiązek nosić identyfikator na co dzień, to może znaleźć się postanowienie odsyłające do obowiązku przestrzegania wewnętrznych uregulowań pracodawcy, wynikających np. z bezpieczeństwa. Czy jako osoba zatrudniona na umowie B2B mam inne obowiązki niż pracownik? To zależy. Zasadniczo to firma jako administrator danych osobowych odpowiada za cele i środki przetwarzania danych osobowych, a tym samym określa, co nam wolno, a czego nie, w odniesieniu do danych osobowych. Jednak jeżeli z uwagi na stosunek B2B pozostawiono nam dużą swobodę, pozwalając przykładowo korzystać z własnego komputera i środowiska informatycznego, czy kontaktować się służbowo w ramach naszego własnego maila, którego zawartość jest hostingowana na serwerze, który sami wybraliśmy, to wtedy my odpowiadamy za te punktu widzenia osób B2B wydaje się więc bardzo ważne jasne określenie w ramach umowy współpracy, kto zapewnia narzędzia do pracy i kto odpowiada za ich bezpieczeństwo. W celu uniknięcia uznania, że mamy jednak do czynienia ze stosunkiem pracy – można dojść do porozumienia z firmą, że w umowie umieszczony zostanie jedynie jasno określony standard bezpieczeństwa wymagany przez naszego klienta, a to, czy sam komputer wraz z potrzebnym oprogramowaniem otrzymamy w ramach współpracy, ustalić w odrębnym porozumieniu – może mieć to znaczenie szczególnie w przyszłości, w przypadku wprowadzenia sformalizowanych „Testów przedsiębiorcy”. Czy powinienem podpisać z pracodawcą umowę powierzenia? W przypadku, jeżeli osoba nie prowadzi własnej dokumentacji, a jedynie świadczę usługi na sprzęcie i narzędziach udostępnionych przez firmę, która określa zasady bezpieczeństwa i administruje tymi sprzętami, to właściwą formą do udokumentowania dostępu danych powinno być wskazuje Grupa Robocza art. 29 w opinii 1/2010, należy wskazać dwa podstawowe warunki kwalifikowania jako podmiot przetwarzający: posiadanie statusu osoby prawnej odrębnej od administratora danych, przetwarzanie danych osobowych w jego imieniu. W przypadku jednoosobowej działalności, mimo że jest to forma prawna odrębna od administratora, nie stanowi ona oddzielnej osoby prawnej, lecz jest rodzajem wykonywania działalności przez osobę odrębną sytuacją będziemy mieli do czynienia, gdy: będziemy samodzielnie dobierali sprzęt oraz decydowali o infrastrukturze techniczno – informatycznej do komunikowania się z firmą, będziemy zatrudniali inne osoby, które będą miały dostęp do danych udostępnianych nam przez firmę, będziemy świadczyli usługi jako osoba prawna (np. Spółka z ograniczoną odpowiedzialnością lub spółka LTD w Wielkiej Brytanii), firma będzie jednym z naszych kilku klientów, do obsługi których będziemy używali tych samych narzędzi IT. W przypadkach wskazanych w powyższym wyliczeniu wydaje się konieczne podpisanie dodatkowo umowy powierzenia. Co istotne z naszego punktu widzenia, warto w niej zastosować analogiczne zasady ograniczenia odpowiedzialności, jakie udało nam się wynegocjować w umowie współpracy. Umowa powierzenia powinna co najmniej spełniać warunki szczegółowo opisane w art. 28 – 29 (określenie zasad powierzenia) oraz art. 32-34 RODO (określenie zasad bezpieczeństwa). W celu uniknięcia wątpliwości w umowie powierzenia, zawsze warto zawrzeć informacje o sposobie przekazywania informacji o zdarzeniach nagłych po godzinach pracy. Dobrym rozwiązaniem jest tu np. określenie telefonu kontaktowego do administracji IT firmy czynnego w ramach wsparcia 24/7 lub telefonu prywatnego do osoby decyzyjnej. Jaką odpowiedzialność ponoszę z tytułu naruszenia zasad ochrony danych osobowych? W przeciwieństwie do pracowników zatrudnionych na podstawie umowy o pracę, w przypadku kontraktów B2B nie ma limitów odpowiedzialności. Z uwagi na możliwe nałożenie kary, w przypadku naruszenia przez nas zasad bezpieczeństwa, w odniesieniu do przychodu naszego klienta (nawet do 4% jego obrotu lub równowartości 20 milionów euro), w celu zapewnienia nam bezpieczeństwa prawnego, warto w umowie współpracy oraz w umowie powierzenia określić zakres naszej odpowiedzialności, ograniczając ją np. do określonej wielokrotności naszego punktu widzenia codziennego postępowania warto jednak zwrócić uwagę, że nie będzie w zakresie naszej odpowiedzialności szkoda poniesiona przez naszego klienta wskutek naszych działań, jeżeli: będziemy korzystali z niezabezpieczonego odpowiednio sprzętu, udostępnionego nam przez klienta, o czym go poinformowaliśmy wykonywaliśmy czynności zgodnie z procedurami i na sprzęcie udostępnionym przez klienta. Mając na uwadze chęć uniknięcia ewentualnych sporów, warto sygnalizować zauważone luki w standardach bezpieczeństwa oraz archiwizować tego rodzaju korespondencję na wypadek ewentualnych przyszłych sporów.
Obowiązek zawarcia umowy z inspektorem danych osobowych nałożony został w art. 37 RODO. Zgodnie z przedmiotowym artykułem administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy: a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie
Wzór umowy powierzenia przetwarzania danych osobowych dla IODZawarcie umowy powierzenia jest niezbędne, zawsze gdy ma dojść do przekazania innemu podmiotowi danych osobowych innych osób. Z taką właśnie sytuacją mamy do czynienia w przypadku przetwarzania danych osobowych przez zewnętrznego inspektora ochrony danych. Skoro odrębny podmiot mający zamiar świadczyć usługi IOD będzie miał dostęp do danych osobowych, to musi mieć ku temu podstawę prawną, którą będzie stanowiła umowa powierzenia przetwarzania danych osobowych. Jeśli jesteś subskrybentem publikacji Ochrona danych osobowych zaloguj się Zapomniałeś hasła ? kliknij tutaj Zostań subskrybentem publikacji Ochrona danych osobowych ZOBACZ OFERTĘ
Zawartość zgłoszenia. Minimalna obligatoryjna treść zgłoszenia powinna zawierać: opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;Wstęp Jeżeli analiza podmiotu zewnętrznego wskazuje na konieczność zawarcia tego typu umowy należy pamiętać o przepisach regulujących jej zakres. Kluczowe w tym zakresie jest RODO, które wprost wskazuje niezbędne elementy umowy powierzenia przetwarzania danych osobowych. Pomocna w tym zakresie, jest również, przyjęta 9 lipca 2019 r. przez Europejską Rade Ochrony Danych (EROD) opinia 14/2019 w sprawie projektu standardowych klauzul umownych przedłożonego przez duński organ nadzorczy (art. 28 ust. 8 RODO). Niniejszy artykuł ma przybliżyć najważniejsze z nich. Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie. ODBIERZ PAKIET Przepisy ogólnego rozporządzenia o ochronie danych 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z r.) - dalej jako „RODO” - nakładają na administratorów szczególne zobowiązania dotyczące zawierania umów powierzenia, wskazując precyzyjnie jakie minimalne kwestie powinny zostać w niej uregulowane. Kluczowym w tym zakresie jest art. 28 RODO, określający podstawowy katalog obligatoryjnych postanowień umowy powierzenia. Przeprowadzone przez autora audyty wskazują, że wielokrotnie koniecznym będzie nie tyle zawarcie samych umów powierzenie, ale również dostosowanie do omawianych wymogów prawnych umów już obowiązujących, a zawartych na bazie ustawy o ochronie danych osobowych z r. Należy zwrócić uwagę, że uregulowanie relacji pomiędzy administratorem i podmiotem przetwarzającym w oparciu o umowę powierzenia jest obowiązkiem administratora oraz podmiotu przetwarzającego. Brak jego spełnienia może zaś być podstawą do nałożenia administracyjnej kary pieniężnej zgodnie z art. 83 ust. 4 pkt a RODO. Wybór podmiotu przetwarzającego Samo zawarcie umowy powierzenia to jednak nie jedyne zadanie wynikające z RODO a dotyczące omawianego zagadnienia. Należy pamiętać, że art. 28 ust. 1 RODO (uzupełniony treścią motywu 81 RODO), zobowiązuje administratora, do korzystania jedynie z takich podmiotów przetwarzających, które gwarantują wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających, że przetwarzanie spełnia wymogi RODO oraz chroni prawa osób, których dane są przetwarzane. W związku z powyższym, administrator powinien poczynić możliwe środki pozwalające mu na weryfikację podmiotu przetwarzającego. Ze względu na wspominane administracyjne kary pieniężne, decyzja administratora w zakresie wyboru podmiotu przetwarzającego nie powinna być podejmowana pochopnie. Stanowi to uzasadnienie do podejmowania przez administratora działań polegających np. na audycie podmiotu przetwarzającego lub żądania wypełnienia formularza pozwalającego na weryfikację takiego podmiotu (tzw. lista kontrolna). Co istotne dla administratora, wypełniona lista kontrolna może również posłużyć jako załącznik do umowy powierzenia przetwarzania danych, będący jednocześnie dowodem stosowanych przez podmiot przetwarzający środków zapewniających zgodność przetwarzania z przepisami RODO oraz ogólne bezpieczeństwo przetwarzanych danych. Rozwiązanie takie, należy uznać za właściwsze, w porównaniu do postanowień umownych, w ramach których podmiot przetwarzający zobowiązuje się jedynie do stosowania odpowiednich środków. Co powinna zawierać umowa powierzenia? Po podjęciu decyzji w zakresie wyboru odpowiedniego podmiotu przetwarzającego, pozostaje już tylko podpisanie samej umowy powierzenia. Określając jej treść, należy pamiętać o brzmieniu art. 28 ust. 3 RODO, według którego, umowa powinna obejmować: przedmiot przetwarzania - będzie on powiązany z realizacją przedmiotu umowy głównej zawartej pomiędzy administratorem a podmiotem przetwarzającym np. na outsourcing działań marketingowych, gdy dla ich wykonania konieczne jest przetwarzanie danych osobowych, czas trwania przetwarzania - co do zasady powiązany jest z realizacją przez podmiot zewnętrzny usługi na rzecz administratora w oparciu o umowę zlecenia bądź świadczenia usług zawartą pomiędzy stronami, charakter przetwarzania - należy opowiedzieć się za rozumieniem tego terminu jako określenie następujących czynników przetwarzania danych osobowych: częstotliwości, powtarzalności, czasowości, długoterminowości, masowości z uwzględnieniem rodzajów zastosowanych technologii, cel przetwarzania - określenie po co procesor ma przetwarzać dane osobowe w imieniu administratora, rodzaj danych osobowych - wymienienie jakie konkretnie dane osobowe będą podlegały powierzeniu przy uwzględnienia podziału na dane zwykłe (przykładowo wymienione w art. 4 pkt 1 RODO) oraz dane szczególnych kategorii (katalog zawarty w art. 9 ust. 1 RODO), kategorię osób, których dane dotyczą - sprecyzowanie grupy osób, których dane zostały powierzone do przetwarzania np. dane klientów, dane pracowników, obowiązki i prawa administratora - w dużej części prawa administratora będą powiązane z realizacją obowiązków nałożonych przez podmiot przetwarzający (o czym mowa poniżej). Do obowiązków administratora określonych umownie można zaś zaliczyć np. sposób oraz termin przekazania do przetwarzania danych osobowych oraz udzielanie wszelkich informacji niezbędnych dla procesora do realizacji umowy powierzenia. WEBINARY Najczęstsze błędy przy zawieraniu umów powierzenia Umowa powierzenia – czy zawsze jest konieczna? Jak odróżnić podmiot przetwarzajacy od odrębnego administratora? Wiele pytań. Konkretne odpowiedzi w wykonaniu radczyni prawnej Katarzyny Szczypińskiej. Oglądaj Niezależnie od powyższego, umowa powierzenia winna określać również obowiązki podmiotu przetwarzającego. Ich minimalny zakres został przedstawiony w przywołanym już art. 28 ust. 3 RODO. Do katalogu tego należy zaliczyć przetwarzanie danych jedynie na udokumentowane polecenie administratora, w tym przekazywania danych do państw trzecich (w tym miejscu autor przychyla się do poglądu, że polecenie może zostać zawarte w treści samej umowy powierzenia, jednakże może ono ulegać modyfikacjom lub aktualizacjom za pośrednictwem odrębnych dokumentów, już na etapie realizacji umowy), zapewnienie, że dane będą przetwarzane jedynie przez osoby posiadające upoważnione do przetwarzania danych oraz zobowiązane do zachowania tajemnicy, zobowiązanie do pomocy administratorowi w wywiązywaniu się przez niego z obowiązków np. realizacji żądań osób, których dane są przetwarzane (określonych w rozdziale III RODO), zgłaszania naruszeń ochrony danych do Prezesa Urzędu Ochrony Danych oraz osoby, której dane dotyczą (art. 33 i art. 34 RODO), zwrot lub usuwanie danych osobowych po zakończeniu świadczenia usługi, z którą powiązane jest powierzenie przetwarzania danych osobowych (w zależności od decyzji administratora), przekazanie wszelkich informacji dotyczących przetwarzania w ramach zawartej umowy powierzenia oraz umożliwienie administratorowi przeprowadzania audytów w zakresie realizacji tej umowy. Pamiętaj! Podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, pomaga administratorowi w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą oraz innych nałożonych na administratora przepisami RODO. Zaleca się aby rola podmiotu przetwarzającego polegała na przekazaniu administratorowi, w ustalonym przez stronie terminie, wszelkich informacji niezbędnych do realizacji określonego obowiązku. Powierzenie a podpowierzenie danych Szczególnie istotnym zagadnieniem, koniecznym do uregulowania w ramach umowy powierzenia jest kwestia współpracy procesora z jego podwykonawcami odpowiedzialnymi za przetwarzanie powierzonych danych osobowych (tzw. subprocesorami). W pierwszej kolejności umowa powinna przesądzić o tym, czy podmiot przetwarzający ma w ogóle możliwość podpowierzenia danych administratora swoim podwykonawcom. W tym zakresie administrator może wyrazić ogólną zgodą na takie działania, bądź uzależnić je od zgody szczególnej (w zależności od konkretnego przypadku). Umowa powierzenia powinna w szczególności precyzować: tryb wystąpienia o zgodą na podpowierzenie, w tym czas jej złożenia oraz termin jej wyrażenia (należy bowiem pamiętać, że zgoda powinna mieć charakter uprzedni względem samej czynności podpowierzenia). Zdaniem EROD kluczową kwestia jest również, aby administrator posiadał wykazu wszystkich subprocesorów, z których usług korzysta podmiot przetwarzający. Pamiętaj! RODO przewiduje podpowierzanie wprost w art. 28 ust. 2 i 4, jednak pod warunkiem uzyskania szczególnej lub ogólnej pisemnej zgody administratora danych. Przepisy RODO stanowią wprost, że odpowiedzialność za przetwarzanie danych przez subprocesora ponosi sam podmiot przetwarzający dane imieniu administratora. Zgodnie bowiem z art. 28 ust. 4 RODO w sytuacji korzystania przez procesora z subprocesora, umowa pomiędzy tymi podmiotami winna nakładać na ten drugi te same obowiązki ochrony danych jak w umowie zawartej pomiędzy administratorem a podmiotem przetwarzającym. Kiedy stosować umowę powierzenia? Powierzenie przetwarzania danych osobowych będzie miało miejsce w sytuacji, gdy podmiot zewnętrzny świadczy pewien rodzaj usług na rzecz administratora, z którymi związane jest przetwarzanie danych osobowych. Istota powierzenia przetwarzania danych osobowych jest ściśle powiązania z pojęciem outsourcingu, przez które należy rozumieć zlecenie podmiotowi zewnętrznemu (wyspecjalizowanemu w określonej dziedzinie), realizacji czynności związanych z funkcjonowaniem administratora. Można zatem wymienić następujące przykłady sytuacji, w których co do zasady zobowiązani będziemy do zawarcia umowy powierzenia: zewnętrzna obsługa w zakresie Inspektora Ochrony Danych, Diagnoza zgodności to sam Wykorzystaj elastyczne narzędzie do inwentaryzacji, audytu, przeprowadzenia DPIA oraz analizy ryzyka. POZNAJ DR RODO zewnętrzna obsługa księgowa przedsiębiorstwa, zewnętrzna obsługa kadrowo – płacowa przedsiębiorstwa, korzystanie z usług zewnętrznego archiwum, zewnętrzne usługi niszczenia dokumentów, prowadzenie kampanii marketingowych przez podmiot zewnętrzny na zbiorze danych przekazanych przez administratora lub budowanych na zlecenie administratora (np. mailing do klientów administratora), świadczenie przez podmiot zewnętrznych usług IT (np. hosting), usługi zewnętrznego call center, świadczenie usług ochrony obiektów w tym ich monitorowania przez podmiot zewnętrzny. Jak wykazano powyżej, przepisy RODO w sposób precyzyjny regulują formalne wymogi przetwarzania danych w imieniu administratora w tym niezbędne elementy umowy powierzenia. Umowa zgodna z przywołanymi przepisami unijnego rozporządzenia, ma na celu zapewnienie administratorowi lepszej kontroli nad przetwarzanymi przez niego danymi osobowymi. Uwzględniając to, należy podkreślić, że wybór przez administratora odpowiedniego podmiotu przetwarzającego oraz gruntowne uregulowanie powierzenia przetwarzania danych osobowych w ramach zawartej umowy, przekłada się bezpośrednio na bezpieczeństwo danych osobowych a tym samym na interesy i prawa osób, których dane dotyczą. Umowa powierzenia przetwarzania – pytania i odpowiedzi Czy ankieta bezpieczeństwa dla podmiotu przetwarzającego powinna być indywidualnie dostosowana do każdej umowy powierzenia/ konkretnego rodzaju usług? Czy zasadne jest zawarcie umowy powierzenia z podmiotem świadczącym usługi migracji danych? Czy kancelaria prawna prowadzona przez adwokata lub radcę prawnego powinna podpisywać umowę powierzenia danych osobowych z klientami? Czy procesor powinien ujawniać podmiotowi, z którym łączy go umowa powierzenia, treść polityki ochrony danych osobowych obowiązującej w jego organizacji? Czy w umowie powierzenia procesor może wpisać postanowienie o stawce za godzinę pracy jego IOD przy obsłudze audytu administratora? Audyt wewnętrzny i zewnętrzny: kiedy zasadne jest nadanie upoważnienia audytorom, a kiedy zawarcie umowy powierzenia? Materiały do pobrania Narzędzia RODO Wzór umowy powierzenia zgodny z RODO Wzór uwzględnia wytyczne EROD w zakresie uregulowania powierzenia przetwarzania danych osobowych. Pobierz Narzędzia RODO Formularz do weryfikacji podmiotu przetwarzającego Formularz ułatwiający weryfikację podmiotu, któremu chcesz powierzyćdane osobowe do przetwarzania. Pobierz
Jeśli administrator danych zamierza je przekazać poza terytorium Unii Europejskiej, musi zadbać o bezpieczeństwo transferu. Zgodnie z przepisami RODO procedura postępowania jest zależna od kraju, do którego dane mają zostać przekazane: jeśli Komisja Europejska stwierdzi, że dane państwo spełnia odpowiedni stopień ochrony
Administrator danych osobowych może, na podstawie umowy powierzenia przetwarzania danych osobowych, przekazać dane innemu podmiotowi. Przekazanie to odbywa się jednak włącznie na podstawie pisemnej umowy (może być zawarta elektronicznie) lub innego instrumentu prawnego. Jak powinna zostać sporządzona taka umowa, aby spełnione zostały wymogi nałożone przepisami o ochronie danych osobowych? Kto może powierzyć przetwarzanie danych osobowych? Dane powierzyć może ich administrator - czyli podmiot/osoba, która decyduje o celach i środkach przetwarzania danych. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy (lub innego instrumentu prawnego) zawartej na piśmie, przetwarzanie danych Pobierz darmowy wzór umowy powierzenia danych osobowych w formacie pdf i docx! Do pobrania: Komu można powierzyć przetwarzanie danych? Dane powierza się wyłącznie podmiotowi, który spełnia wymagania z przepisów o ochronie danych osobowych. Zatem ten, komu powierza się przetwarzanie danych przed rozpoczęciem tego procesu (a przetwarzanie danych to już samo ich przechowywanie), powinien podjąć środki (techniczne i organizacyjne) zabezpieczające zbiór “otrzymanych” danych. Dodatkowo podmiot, któremu powierzamy dane, powinien spełniać przesłanki rozporządzenia MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia oraz systemy informatyczne, służące do przetwarzania danych osobowych. Na kim ciąży odpowiedzialność za powierzone do przetwarzania dane osobowe? W zakresie przestrzegania przepisów dotyczących ochrony danych osobowych odpowiedzialność spoczywa zarówno na podmiocie, któremu dane powierzono, jak i na administratorze, który te dane powierzył. Zatem nie można powiedzieć, że administrator danych osobowych, powierzając je innemu podmiotowi, bezwzględnie przenosi na niego odpowiedzialność. Odpowiedzialność ta bowiem zostaje jedynie rozłożona równoważnie na dwa podmioty: administratora danych (który wciąż nim pozostaje mimo podpisanej umowy powierzenia danych osobowych) i podmiotu, któremu dane powierzono. W przypadkach wymienionych w Rozporządzeniu RODO, odpowiedzialność za przestrzeganie jego przepisów spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową. Umowa powierzenia przetwarzania danych Zgodnie z postanowieniami przepisów o ochronie danych osobowych umowa powierzenia przetwarzania danych osobowych musi obowiązkowo być zawarta na piśmie lub w drodze innego instrumentu prawnego (np. zarządzenia, uchwały). Nie można zatem ustnie powierzyć komuś przetwarzania danych. Zdarzenie takie zawsze trzeba udokumentować pisemnie. Ważne!Umowa powierzenia przetwarzania danych musi być zawarta na piśmie lub elektronicznie! Obowiązkowe elementy umowy przetwarzania danych osobowych Dwa główne elementy, jakie winny znaleźć się w umowie powierzenia to: zakres cel. Co zatem oznaczają te pojęcia? Zakres - jakie dane powierzamy? Administrator danych osobowych, powierzając przetwarzanie danych innemu podmiotowi, powinien wskazać zakres, czyli jakie dane faktycznie będą podlegały powierzeniu. Podaje się tu zwykle nazwę zbioru (kategorię osób, których dane dotyczą np. pracownicy, klienci) i wymienia enumeratywnie poszczególne kategorie danych: np. imię, nazwisko, adres, numer telefonu. Cel - po co powierzamy dane? Drugim obligatoryjnym elementem umowy powierzenia jest cel, czyli wskazanie przyczyny powierzenia przetwarzania danych. Może nią być powołanie się na konkretną umowę współpracy lub bezpośrednie wskazanie intencji, w której powierzono danemu podmiotowi dane osobowe. Wskazanie zakresu i celu przetwarzania danych obliguje podmiot, któremu dane osobowe powierzono, do przetwarzania ich wyłącznie we wskazanych w umowie obszarach. Pozostałe postanowienia umowy o powierzeniu przetwarzania danych osobowych Poza obligatoryjnymi postanowieniami w umowie wskazuje się oświadczenia stron, w których: zleceniodawca zwykle oświadcza, iż jest administratorem danych osobowych i posiada pełne prawo do ich przetwarzania, zleceniobiorca oświadcza, iż spełnia warunki techniczne i organizacyjne, o jakich mowa w przepisach o danych osobowych. Ponadto niekiedy zwierane są dodatkowe postanowienia umowne. Prawo do podpowierzenia danych osobowych Administrator danych osobowych może wskazać w umowie, iż zastrzega, by podmiot, który otrzymuje powierzone dane, nie podpowierzał ich innym podmiotom. Może również zezwolić na podpowierzenie danych osobowych, ale wyłącznie podmiotom wskazanym w umowie. Prawo do audytu Z uwagi na to, że administrator danych, mimo ich powierzenia, wciąż pozostaje ich administratorem i ma obowiązek czuwać nad bezpieczeństwem ich przetwarzania, warto jest zastrzec w umowie prawo do wewnętrznej kontroli podmiotów, którym dane zostały powierzone.. Prawo do upoważnienia Administrator powierzonych danych wciąż pozostaje ich “pierwotnym właścicielem”, w związku z czym może on (a niekiedy powinien) upoważnić przedstawiciela podmiotu, któremu dane są powierzane, do nadania upoważnień do przetwarzania danych osobowych w jego imieniu. Informowanie o kontrolach PUODO jak i PIP mogą kontrolować firmy w zakresie wypełniania obowiązków wynikających z przepisów o ochronie danych osobowych. Jeżeli podmiot, któremu administrator danych powierzył posiadane przez siebie zbiory, ma taką kontrolę, warto o niej wiedzieć. Inspektorzy bowiem mogą “po nitce do kłębka” dotrzeć z kontrolą do firmy administratora. Zobowiązanie do usunięcia danych Wygaśnięcie umowy współpracy jest zwykle równoznaczne z utratą podstawy do przetwarzania danych przed podmiot, któremu dane te powierzono. Mimo iż podmiot ten powinien zakończyć proces przetwarzania i usunąć dane, które zostały mu powierzone, warto o tym obowiązku przypomnieć w postanowieniach umownych. Czy umowa powierzenia może być częścią innej umowy? Tak, nie ma ku temu przeciwwskazań. Zatem zapisy dotyczące kwestii powierzenia przetwarzania danych osobowych mogą być częścią np. umowy współpracy. Należy jednak pamiętać, by zawierały zapisy niezbędne do prawidłowego uregulowania procesu powierzenia danych.
To, co powinna zawierać każda umowa powierzenia danych osobowych (a więc także każda umowa dalszego powierzenia czy „podpowierzenia”) określa art. 28 RODO. Pzetwarzanie danych osobowych w ramach umowy powierzenia powinno odbywać się w imieniu administratora, z czego wynika konieczność dokładnego określenia tego administratora w
Od 25 maja 2018 r. przepisy RODO obowiązują każdego przedsiębiorcę. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) reguluje problematykę zabezpieczenia danych osobowych przetwarzanych w toku działalności przedsiębiorcy. Każdy przedsiębiorca musi pamiętać, że faktyczne przetwarzanie danych osobowych odbywa się na wielu różnych poziomach – zarówno w momencie poszukiwania klientów, jak i zawierania umowy, jej realizacji i dalszego przechowywania danych po zakończeniu powinna wyglądać umowa zgodna z RODO? Wykonanie umowy jest podstawą do przetwarzania danych Każdy przedsiębiorca, niezależnie od charakteru prowadzonej działalności (niezależnie od tego, czy prowadzi warsztat samochodowy, sklep z odzieżą czy agencję reklamową), zawiera szereg umów. Jeśli zatrudnia pracowników, zawiera umowy o pracę i w rezultacie przetwarza dane osobowe swoich podwładnych. Jeśli oferuje swoje usługi czy towary klientom – zawiera na przykład umowy sprzedaży, umowy o dzieło czy umowy zlecenia. W rezultacie przedsiębiorca dysponuje danymi osobowymi, które podlegają ochronie przepisów rozporządzenia RODO. Przepis art. 6 ust. 1 pkt a i b rozporządzenia RODOPrzetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:a. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;b. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Aby przetwarzanie danych osobowych było zgodne z prawem, przedsiębiorca musi mieć podstawę do tej czynności. Nie może pozyskiwać, wykorzystywać i przechowywać danych osobowych bez podstawy prawnej – przepisy RODO wskazują podstawę w artykule 6. Zgodnie z zapisami rozporządzenia, przetwarzanie danych jest zgodne z prawem, jeśli jest niezbędne do wykonania umowy. Przepis art. 6 wskazuje, że wystarczające jest spełnienie zaledwie jednego spośród warunków wskazanych w treści regulacji, co oznacza, że przedsiębiorca nie musi prosić swojego klienta o wyrażenie zgody na przetwarzanie danych, które są konieczne do wykonania umowy. Do zadbania o zgodność działań z przepisami RODO będzie wystarczające wyłącznie poinformowanie klienta o celu i sposobie przetwarzania jego danych osobowych, choć pobranie dodatkowego oświadczenia – zgody na przetwarzanie danych osobowych – z pewnością nie zaszkodzi. Umowa zgodna z RODO z przedsiębiorcami i z osobami fizycznymi Przepisy RODO zawierają precyzyjną definicję danych osobowych, których przechowywanie i przetwarzanie podlega ochronie przewidzianej przez rozporządzenie. Uwaga!Dane osobowe w rozumieniu przepisów RODO oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Osoba fizyczna staje się możliwa do zidentyfikowania wówczas, gdy posiadane dane zawierają na przykład imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby. Przedsiębiorca musi pamiętać o tym, że po wejściu w życie przepisów RODO dopuszczalne jest pozyskiwanie wyłącznie danych niezbędnych do wykonania umowy – ich zakres będzie zależał od prowadzonej działalności oraz charakteru i treści umowy. Dane osobowe przetwarzane przez przedsiębiorcę winny zostać ograniczone do niezbędnego minimum – przykładowo, jeśli przedsiębiorca do wykonania umowy nie potrzebuje numeru PESEL czy numeru telefonu klienta, nie powinien prosić go o wskazanie tych danych w umowie. Kodeks cywilny zakłada, że w niektórych, ściśle opisanych sytuacjach umowa musi spełniać warunki przewidziane w przepisach w zakresie jej formy. W większości przypadków umowa jest ważna nawet wówczas, gdy nie ma formy pisemnej rozumianej jako spisane na papierze oświadczenia stron zwieńczone ich podpisami. Przedsiębiorca musi pamiętać, że obecnie zawierane umowy mogą mieć rozmaitą formę i chociażby „kliknięcie” w ofertę na stronie aukcyjnej może zakończyć się zawarciem umowy. Również w takim przypadku przedsiębiorca będzie dysponował danymi osobowymi i będzie je przetwarzał. Ważne!Przepisy RODO chronią wszystkie dane osobowe, zarówno w odniesieniu do osób fizycznych, jak i do innych podmiotów. Dane przedsiębiorcy również mogą zawierać dane osobowe (np. numer PESEL czy adres prowadzenia działalności równoznaczny z adresem zamieszkania) i z tego względu podlegają ochronie. Jednym z najważniejszych pytań, na jakie musi odpowiedzieć przedsiębiorca, jest pytanie o uzależnienie zakresu danych od osoby kontrahenta. Odpowiedź jest uwarunkowana wieloma czynnikami. Rozporządzenie RODO precyzyjnie wskazuje (patrz ramka powyżej), że przez dane osobowe należy rozumieć dane osoby fizycznej. Nie oznacza to jednak, że przedsiębiorca zawierający umowy z innymi przedsiębiorcami nie musi stosować żadnych środków ochrony – nie każdy z nich jest spółką prawa handlowego, której dane nie zawierają żadnych danych chronionych z punktu widzenia RODO. W motywach rozporządzenia wskazano wprost, że „rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorców będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej”. Prawidłowa interpretacja tego przepisu wymaga stwierdzenia, że dane przedsiębiorców innych niż osoby prawne będą podlegały ochronie na równi z ochroną zapewnioną osobom fizycznym. Przedsiębiorca musi zwracać szczególną uwagę na dane swoich kontrahentów będących przedsiębiorcami prowadzącymi jednoosobową działalność gospodarczą. Uwaga!Niemal każdy przedsiębiorca stosuje w swojej działalności wzory umów. Ich używanie jest jak najbardziej prawidłowe, ale nie powinno następować automatycznie. Przed zawarciem umowy z klientem (zarówno innym przedsiębiorcą, jak i osobą fizyczną) przedsiębiorca powinien sprawdzić, czy umowa zawiera wyłącznie dane niezbędne do jej wykonania. Przeważająca większość przedsiębiorców na co dzień posługuje się gotowymi wzorami umów, nie zastanawiając się nad ich elementami. Zazwyczaj większą wagę stosuje się do przedmiotu umowy (czyli praw i obowiązków stron) niż do jej formalnego kształtu (czyli na przykład danych wskazywanych w nagłówku). Takie podejście jest ryzykowne – rozporządzenie RODO przewiduje kary pieniężne za złamanie zasad ochrony danych osobowych, zaś pozyskiwanie danych sprzecznych z opisanymi powyżej regułami może zostać uznane za naruszenie przepisów. Przedsiębiorca powinien dokładnie sprawdzić, co znajduje się w stosowanych przez niego wzorach umów i w razie potrzeby dokonać niezbędnych modyfikacji. Do treści umowy warto również dodać wspomnianą powyżej zgodę na przetwarzanie danych osobowych. Przedsiębiorca musi pamiętać o obowiązku zadbania o bezpieczeństwo danych osobowych zarówno w trakcie wykonywania umowy, jak i po jej zakończeniu – w tym celu konieczne jest wdrożenie odpowiednich procedur i środków bezpieczeństwa (np. zabezpieczeń systemów informatycznych czy nawet szaf pancernych w biurze firmy), zależnych od rodzaju prowadzonej działalności. Przetwarzanie danych przed zawarciem umowy Większość przedsiębiorców przetwarza dane nie tylko kontrahentów, lecz także przyszłych kontrahentów. Zawarcie umowy zazwyczaj nie następuje natychmiastowo – przedsiębiorca musi szukać klientów i odpowiadać na zapytania ofertowe wysyłane chociażby za pośrednictwem strony internetowej. Przytoczony powyżej przepis artykułu 6 rozporządzenia uznaje za dopuszczalne przetwarzanie danych niezbędnych do podjęcia działań na żądanie osoby, której dane dotyczą, również przed zawarciem umowy. Kluczowe znaczenie ma w tym przypadku fraza „na żądanie osoby” – przedsiębiorca może przetwarzać dane osobowe potencjalnego kontrahenta, ale wyłącznie, gdy jest to działanie poprzedzone żądaniem danej osoby. Pojęcie „żądania” nie może być interpretowane szeroko – żądanie potencjalnego klienta musi być wyraźne, nigdy dorozumiane. Może zostać wyrażone w rozmaity sposób (np. mailowo czy nawet telefonicznie), ale klient powinien zostać dokładnie poinformowany o zasadach przetwarzania danych przez przedsiębiorcę i celach tych czynności. Dla bezpieczeństwa przedsiębiorca powinien pobrać od drugiej strony zgodę na przetwarzanie danych osobowych. Oświadczenie o wyrażeniu zgody powinno być sformułowane w sposób jasny, zrozumiały i z użyciem prostego języka.
Zasady udostępniania danych. Udostępnienie danych osobowych jest przetwarzaniem, które nie zostało zdefiniowane jednoznacznie w przepisach RODO. Jest to więc zarówno powierzenie danych osobowych na gruncie art. 28 RODO, jak i chociażby udostępnienie nagrania z monitoringu wizyjnego w związku z prowadzonym przez policję postępowaniem.
Klauzula informacyjna Na podstawie art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), publ. Dz. Urz. UE L Nr 119, s. 1 informujemy, iż: 1) Administratorem Pani/Pana danych osobowych jest Państwowa Szkoła Muzyczna I Stopnia im. Ignacego Jana Paderewskiego w Kartuzach (ul. dr. Aleksandra Majkowskiego 5, 83-300 Kartuzy). 2) W sprawach z zakresu ochrony danych osobowych mogą Państwo kontaktować się z Inspektorem Ochrony Danych Witoldem Wiśniewskim pod adresem e-mail: inspektor@ 3) Dane osobowe będą przetwarzane w celu realizacji umowy cywilnoprawnej. 4)Dane osobowe będą przetwarzane przez okres niezbędny do realizacji ww. celu z uwzględnieniem okresów przechowywania określonych w przepisach odrębnych, w tym przepisów archiwalnych. 5) Podstawą prawną przetwarzania danych jest art. 6 ust. 1 lit. b) ww. rozporządzenia. 6) Odbiorcami Pani/Pana danych będą podmioty, które na podstawie zawartych umów przetwarzają dane osobowe w imieniu Administratora. Osoba, której dane dotyczą ma prawo do: -dostępu do treści swoich danych oraz możliwości ich poprawiania, sprostowania, ograniczenia przetwarzania oraz do przenoszenia swoich danych, a także - w przypadkach przewidzianych prawem - prawo do usunięcia danych i prawo do wniesienia sprzeciwu wobec przetwarzania Państwa danych. - wniesienia skargi do organu nadzorczego w przypadku gdy przetwarzanie danych odbywa się z naruszeniem przepisów powyższego rozporządzenia tj. Prezesa Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa Podanie danych osobowych jest warunkiem zawarcia umowy cywilnoprawnej. Osoba, której dane dotyczą jest zobowiązana do ich podania. Konsekwencją niepodania danych osobowych jest brak możliwości zawarcia umowy. Ponadto informujemy, iż w związku z przetwarzaniem Pani/Pana danych osobowych nie podlega Pan/Pani decyzjom, które się opierają wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, o czym stanowi art. 22 ogólnego rozporządzenia o ochronie danych osobowych. Informacje o publikacji dokumentu Pierwsza publikacja: 15:27 Sebastian Szuman Wytwarzający/ Odpowiadający: PSM I stopnia w Kartuzach Pokaż historię zmian Tytuł Wersja Dane zmiany / publikacji Ochrona danych osobowych 16:28 administrator Ochrona danych osobowych 15:27 Sebastian Szuman Aby uzyskać archiwalną wersję należy skontaktować się z Redakcją BIP
Dzień Ochrony Danych Osobowych. 17. Dzień Ochrony Danych Osobowych, 28 stycznia 2023 r. 16. Dzień Ochrony Danych Osobowych, 28 stycznia 2022 r. Ustanowienie Dnia Ochrony Danych Rady Europy ; Twoje dane – Twoja sprawa. Informacje ogólne; Realizacja programu w roku szkolnym 2023/2024 (XIV edycja) Realizacja programu w roku szkolnym 2022/
Umowa powierzenia z dostawcą tzw. benefitów - czy pracodawca musi ją zawierać? Kto jest administratorem danych osobowych? Czy pracodawca musi zawierać umowę powierzenia z dostawcą benefitów? Pracodawcy bardzo często zapewniają pracownikom system benefitów, często w ramach funkcjonowania Zakładowego Funduszu Świadczeń Socjalnych. W jakiej roli wystąpi w takim przypadku dostawca takich świadczeń – czy będzie konieczne zawarcie umowy powierzenia w ramach realizacji takich zadań? Tak albo nie. Umożliwienie dostawcy benefitów przetwarzania danych osobowych nie zawsze będzie oznaczać, że konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych. Administrator danych osobowych a powierzenie przetwarzania danych Oczywiście punktem wyjścia powinno być bezsprzecznie ustalenie, w jakiej relacji występują oba podmioty, tj. pracodawca oraz dostawca benefitów. Należałoby zatem rozważyć, czy oba podmioty są odrębnymi administratorami danych osobowych, czy też wystąpi między nimi relacja powierzenia przetwarzania danych osobowych. Zatem wychodząc od definicji administratora zawartej w art. 4 pkt 7 RODO[1], trzeba ocenić, czy oraz ewentualnie który podmiot zachowuje się jak administrator, a zatem określa cele i sposoby przetwarzania danych osobowych. Wątpliwości w tym zakresie rozwiać mogą także kryteria wskazane przez Europejską Radę Ochrony Danych (Wytyczne 7/2020 w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO. takie jak np. przypisane administratorowi decydowanie o takich elementów procesu przetwarzania danych osobowych, jak: cele przetwarzania danych osobowych, zakres danych osobowych, kategorie osób, których dane osobowe będą przetwarzane, a idąc dalej także podejmowanie decyzji o tym, komu będą udostępnione przetwarzane dane osobowe. Jeżeli pracodawca decyduje o takich elementach przetwarzania, powinien wystąpić w roli administratora i zawarcie umowy powierzenia nie będzie zasadne. Sposób przetwarzania danych osobowych Biorąc jednak pod uwagę cechy typowe dla relacji powierzenia, należy także wziąć pod uwagę samą organizację procesu przetwarzania danych osobowych, a zatem także i sposób przetwarzania danych osobowych. Jeżeli to dostawca benefitów określa sposób przetwarzania, np. wskazując, że dane osobowe pracowników korzystających z benefitów mają być zbierane przez pracodawcę, a następnie przekazane takiemu usługodawcy, zachodzą przesłanki do uznania pracodawcę za podmiot przetwarzający w takiej relacji. Podobnie wskazywał też organ nadzorczy, Prezes Urzędu Ochrony Danych Osobowych, sygnalizując, że ….jeżeli pracodawca zajmie się rozdysponowaniem ww. formularzy do pracowników i następnie uzupełnione formularze odbierze od nich (by je przekazać firmie szkoleniowej) wówczas firma szkoleniowa będzie musiała zawrzeć z tym pracodawcą umowę powierzenia przetwarzania danych osobowych pracowników.[2] Ta ocena może mieć w zasadzie zastosowanie do każdego działania przebiegającego w ten sposób, zatem także w odniesieniu do każdego zbierania danych osobowych dla innego podmiotu. Nie ma przy tym znaczenia, że pracodawca jest administratorem danych osobowych pracowników, ponieważ dotyczy to zupełnie innego procesu przetwarzania danych osobowych. Pracodawca procesorem? Należałoby zatem odwrócić pytanie – ktoś jest administratorem, a kto procesorem w tej relacji? Czy dostawca benefitów może być administratorem (a pracodawca procesorem)? Tak, mimo, że ta relacja dotyczy pracowników pracodawcy. I tak, jeżeli to dostawca decyduje o najważniejszych elementach przetwarzania i np. określa sposób zbierania danych przez pracodawcę. W takim przypadku to pracodawca w imieniu dostawcy benefitów będzie zbierał dane osobowe pracowników (co nie ma wpływu na jego status administratora w odniesieniu do danych osobowych pracowników przetwarzanych na podstawie przepisów prawa pracy). Czy pracodawca może być odrębnym administratorem danych osobowych (obok dostawcy benefitów)? Tak, jeżeli proces zbierania danych na potrzeby korzystania przez pracowników z benefitów przebiegnie w sposób nieangażujący pracodawcy, np. pracodawca jedynie przekaże stosowną informację pracowników, ale nie będzie prowadził zapisów, nie będzie zbierał formularzy etc. Punktem wyjścia jest zatem przemyślane zaprojektowanie ścieżki umożliwiającej pracownikowi korzystanie z gwarantowanych przez pracodawcę benefitów. [1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) ( UE. L. Nr 119, s. 1 ze zm.), dalej RODO [2] UODO. Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców. Zatrudnianie i zwalnianie pracowników. Obowiązki pracodawców 2022
Umowa o powierzeniu przetwarzania danych osobowych powinna być zawarta w formie pisemnej lub elektronicznej. W treści umowy zawsze trzeba wskazać przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora oraz pozostałe kwestie wymienione w art. 28 ust. 3 RODO.
Nowelizacja ustawy o ochronie danych osobowych, która weszła w życie w styczniu 2015 roku istotnie zliberalizowała zasady przekazywania danych osobowych do państw trzecich, wprowadzając do katalogu przesłanek legalizujących przekazanie danych do państwa trzeciego posłużenie się umową opartą o modelowe klauzule zatwierdzone przez Komisję Europejską oraz działania w ramach systemu zatwierdzonych przez Generalnego Inspektora Ochrony Danych Osobowych wiążących reguł korporacyjnych. Transgraniczna wymiana danych osobowych jest uregulowana na poziomie Unii Europejskiej przez Dyrektywę 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. W polskim porządku prawnym transfer danych osobowych został uregulowany w Ustawie o ochronie danych osobowych. Zgodnie z jej postanowieniami, przepływ danych w obrębie Europejskiego Obszaru Gospodarczego, do którego oprócz państw członkowskich UE należą: Norwegia, Islandia oraz Lichtenstein, jest traktowany tak samo jak transfer danych na terytorium Polski. Wszystkie pozostałe państwa traktowane są jako tzw. państwa trzecie. Zasady przekazywania danych osobowych do państwa trzeciego W świetle ustawy o ochronie danych osobowych, przekazanie danych osobowych do państwa trzeciego jest możliwe, co do zasady tylko wtedy, gdy państwo to zapewnia odpowiedni poziom ochrony danych osobowych. Adekwatność ochrony jest oceniania z uwzględnieniem wszystkich okoliczności dotyczących operacji przekazania danych, w szczególności biorąc pod uwagę charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia danych oraz przepisy prawa obowiązujące w danym państwie trzecim, a ponadto stosowane w tym państwie środki bezpieczeństwa i zasady zawodowe. Jeżeli warunek zapewnienia odpowiedniego poziomu ochrony nie jest spełniony, przekazanie danych osobowych do państwa trzeciego może nastąpić w dwóch przypadkach. Po pierwsze, transfer będzie w takiej sytuacji dopuszczalny, gdy wynika z obowiązku nałożonego na administratora danych obowiązującymi przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej. Po drugie, przekazanie danych osobowych do państwa, które nie zapewnia odpowiedniego poziomu ochrony jest możliwy po spełnieniu jednej z następujących przesłanek: osoba, której dane dotyczą wyraziła pisemną zgodę; przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie; przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem; przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych; przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą; dane są ogólnie dostępne. W przypadku gdy transfer danych ma nastąpić do państwa, które nie zapewnia odpowiedniego poziomu ochrony i nie został spełniony żadnej z ww. warunków, można zwrócić się do Generalnego Inspektora Danych Osobowych (GIODO) o zgodę, która wydawana jest w drodze decyzji administracyjnej. Organ rozpatrując wniosek musi oceni czy administrator danych zapewni odpowiednie zabezpieczenie w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą. Administrator może w tym celu zastosować środki różnego typu tj. odpowiednie klauzule umowne czy środki techniczne, które pozwalają zapewnić odpowiedni poziom ochrony danych. Na marginesie warto dodać, że przez administratora danych rozumie się podmiot decydujący o celach i środkach przetwarzania danych osobowych. Każdy wniosek o zgodę na transfer danych do państwa trzeciego GIODO powinien oceniać indywidualnie, z uwzględnieniem wszystkich okoliczności sprawy. W tym miejscu należy podkreślić, że przekazanie może nastąpić dopiero po uzyskaniu zgody, pozytywna decyzja nie legalizuje bowiem wcześniejszego przekazania danych. Poza wyżej wymienionymi przypadkami, w których administrator danych osobowych jest uprawniony do przekazania danych do państwa trzeciego, nowelizacja, wprowadziła do katalogu przesłanek legalizujących transfer danych do państwa trzeciego dwie dodatkowego okoliczności, mianowicie: posłużenie się umową opartą o modelowe klauzule zatwierdzone przez Komisję Europejską oraz działania w ramach systemu zatwierdzonych przez GIODO wiążących reguł korporacyjnych. Modelowe klauzule umowne Podstawowym instrumentem zapewnienia adekwatnego poziomu ochrony danych jest zawarcie odpowiednio skonstruowanej umowy przekazania danych osobowych do państwa trzeciego (umowy transferowej). Administrator danych może posłużyć się w tym celu jednym z zestawów tzw. modelowych klauzul umownych zatwierdzonych przez Komisję Europejską. Dotychczas Komisja wydała trzy decyzje zawierające zestawy standardowych klauzul. Dwa pierwsze zestawy dotyczą transferu danych pomiędzy administratorami danych (controller to controller). Klauzule wprowadzone na podstawie trzeciej decyzji znajdują zastosowanie przy przekazywaniu danych podmiotowi przetwarzającemu dane osobowe na zlecenie (controller to processor). Modelowe klauzule mogą stanowić część szerszej umowy transferowej zawartej pomiędzy administratorem danych a odbiorcą lub mogą być zawarte w aneksie do umowy. Należy podkreślić, że nie istnieje obowiązek posługiwania się standardowymi klauzulami. Jednak jeśli administrator danych zdecyduje się na oparcie o nie umowy transferowej, to przekazanie z mocy prawa traktowane będzie jako odbywające się w warunkach adekwatnego poziomu ochrony. Przed nowelizacją, zastosowanie modelowych klauzul nie wywierało takiego skutku, a co za tym idzie konieczne było każdorazowo wystąpienie do GIODO z wnioskiem o wydanie zezwalającej decyzji administracyjnej, o której była wyżej mowa. Fakt posłużenia się klauzulami był traktowany w postępowaniu przez GIODO jedynie jako jeden z dowodów służący wykazaniu, że administrator danych zapewnił odpowiednie zabezpieczenie w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą. Obecnie, administrator danych osobowych, który posłuży się modelowymi klauzulami umownymi, uznanymi na mocy decyzji Komisji Europejskiej za instrument chroniący w odpowiednim stopniu prawa i wolności osoby, której dane dotyczą, zwolniony jest z obowiązku wystąpienia do GIODO z wnioskiem o wyrażenie zgody na przekazanie danych. Nie oznacza to, że administrator nie musi przestrzegać innych wymogów prawnych dotyczących przetwarzania danych osobowych. Należy ponadto pamiętać, że w każdym wypadku, w którym standardowe klauzule umowne zostaną zmodyfikowane, konieczne będzie uzyskanie zgody GIODO na transfer. Autor: Karina Wronka
To tylko kilka wątpliwości, które przewijają się w Waszych mailach do mnie w związku ze zmianami wynikającymi z RODO.Przede wszystkim chciałabym podkreślić, że RODO to nie rewolucja, a ewolucja dotychczasowych zasad ochrony danych osobowych i w zakresie legalności przetwarzania danych osobowych zleceniobiorców nic nie uległo zmianie.Jeżeli dotychczas nie brałeś zgody
