iSecure logo
Blog

Uregulowanie stosunku powierzenia

Kategorie

Każda współpraca pomiędzy podmiotami, polegająca na wykonywaniu czynności na danych osobowych, które to czynności określa jeden z tych podmiotów (administrator danych osobowych), a wykonuje je drugi w jego imieniu (podmiot przetwarzający), musi zostać uregulowana umową powierzenia.

Zdarza się, że podmioty powierzając dane, nie do końca zdają sobie sprawę, że dana czynność jest właśnie powierzeniem danych osobowych. Do takich sytuacji należy np. hosting, przechowywanie dokumentów, itp. Zapominamy, że zgodnie z definicją „przetwarzania”, przechowywanie danych jest również ich przetwarzaniem. Wydawać by się mogło, że przetwarzanie danych to wykonywanie na tych danych konkretnych operacji, ale nie tylko. Nawet samo ich przeglądanie jest już ich przetwarzaniem. Kolejnym przykładem niezidentyfikowania stosunku powierzenia jest kwestia przetwarzania np. danych służbowych pracowników. RODO nie rozdziela danych osobowych na dane prywatne i służbowe. Definicja danych osobowych mówi o zidentyfikowaniu lub o możliwości zidentyfikowania osoby fizycznej po tych danych, a po danych służbowych jak najbardziej jest możliwe zidentyfikowanie konkretnej osoby.

Jeżeli już zidentyfikujemy stosunek powierzenia danych przy danej współpracy, to oczywiście powinniśmy podpisać umowę powierzenia. Możliwe jest to jednak nie tylko podpisanie umowy powierzenia, ale i sama współpraca, wyłącznie z podmiotem, który spełnia wymogi RODO. Nie wystarczy samo oświadczenie umowne o spełnianiu takich wymogów. My, jako podmiot, który ma zamiar powierzyć dane do dalszego przetwarzania innemu podmiotowi, powinniśmy go pod tym kątem odpowiednio zweryfikować – przeanalizować zapisy na stronie internetowej podmiotu, jeżeli taką posiada, przekazać do wypełnienia i podpisania kwestionariusz weryfikacyjny, a jeżeli jakieś informacje wzbudzą naszą wątpliwość, poprosić o udostępnienie przykładowych dokumentów potwierdzających zgodność z RODO albo nawet przeprowadzić audyt sprawdzający. Taka weryfikacja powinna następować cyklicznie również po rozpoczęciu współpracy.

Niestety z naszego doświadczenia wynika, że często zdarza się powierzanie danych bez odpowiedniej weryfikacji podmiotu lub po jego negatywnej weryfikacji, ale takie przypadki, jako Inspektorzy Ochrony Danych (IOD) u naszych Klientów, zawsze pozostawiamy do decyzji biznesowej obarczonej ryzykiem konsekwencji. Te konsekwencję mogą wystąpić ze strony organu nadzorczego (PUODO) lub skutkować negatywnymi skutkami związanymi z nieprawidłowym przetwarzaniem danych przez podmiot przetwarzający (np. wyciek danych i związane z nim straty finansowe lub wizerunkowe).

Pobierz wpis w wersji pdf

Podobne wpisy:

Wizerunek pracownika – kiedy pracodawca może go wykorzystać?

Czy wyobrażacie sobie dobrze prosperującą firmę, która nie posiada własnej strony internetowej? Lub takiej, która nie prowadzi aktywnych działań w mediach społecznościowych? Wydarzenia ostatnich lat uświadomiły nam jeszcze mocniej jak ważną wizytówką przedsiębiorcy jest jego strona www. Okazuje się, że w dobie coraz częstszych spotkań online, braku nawiązywania kontaktów biznesowych „face to face”, bardzo istotne […]

Kluczem do zrozumienia istoty opisywanego pojęcia jest zrozumienie poszczególnych składników składających się na coś na kształt definicji zbioru doraźnego.

Ciasteczko po Irlandzku, czyli Irlandzki organ nadzorczy o plikach cookies

Irlandzki organ ochrony danych osobowych (IDPC – Irish Data Protection Commision) na swojej stronie internetowej zamieścił wskazówki dotyczące plików cookies oraz innych plików śledzących. Dokument powstał po dokonaniu audytu wybranych stron internetowych. W drugiej połowie ubiegłego roku IDPC wysłał kwestionariusz do 40 różnych organizacji celem przeanalizowania wykorzystania plików śledzących na stronach internetowych. W szczególności chciał […]

Czy powinienem wyznaczyć Inspektora Ochrony Danych?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) określa przypadki, w których wyznaczenie Inspektora Ochrony Danych (IOD) przez Administratora Danych Osobowych (ADO) jest obowiązkowe.
Nawet gdy przepisy nie nakładają konkretnego obowiązku wyznaczenia IOD lub gdy nie jesteśmy do końca pewni czy obowiązek dotyczy naszej organizacji czy też nie, zaleca się rozważenie dobrowolnego wyznaczenia takiej osoby.

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki