iSecure logo
Blog

Uregulowanie stosunku powierzenia

Kategorie

Każda współpraca pomiędzy podmiotami, polegająca na wykonywaniu czynności na danych osobowych, które to czynności określa jeden z tych podmiotów (administrator danych osobowych), a wykonuje je drugi w jego imieniu (podmiot przetwarzający), musi zostać uregulowana umową powierzenia.

Zdarza się, że podmioty powierzając dane, nie do końca zdają sobie sprawę, że dana czynność jest właśnie powierzeniem danych osobowych. Do takich sytuacji należy np. hosting, przechowywanie dokumentów, itp. Zapominamy, że zgodnie z definicją „przetwarzania”, przechowywanie danych jest również ich przetwarzaniem. Wydawać by się mogło, że przetwarzanie danych to wykonywanie na tych danych konkretnych operacji, ale nie tylko. Nawet samo ich przeglądanie jest już ich przetwarzaniem. Kolejnym przykładem niezidentyfikowania stosunku powierzenia jest kwestia przetwarzania np. danych służbowych pracowników. RODO nie rozdziela danych osobowych na dane prywatne i służbowe. Definicja danych osobowych mówi o zidentyfikowaniu lub o możliwości zidentyfikowania osoby fizycznej po tych danych, a po danych służbowych jak najbardziej jest możliwe zidentyfikowanie konkretnej osoby.

Jeżeli już zidentyfikujemy stosunek powierzenia danych przy danej współpracy, to oczywiście powinniśmy podpisać umowę powierzenia. Możliwe jest to jednak nie tylko podpisanie umowy powierzenia, ale i sama współpraca, wyłącznie z podmiotem, który spełnia wymogi RODO. Nie wystarczy samo oświadczenie umowne o spełnianiu takich wymogów. My, jako podmiot, który ma zamiar powierzyć dane do dalszego przetwarzania innemu podmiotowi, powinniśmy go pod tym kątem odpowiednio zweryfikować – przeanalizować zapisy na stronie internetowej podmiotu, jeżeli taką posiada, przekazać do wypełnienia i podpisania kwestionariusz weryfikacyjny, a jeżeli jakieś informacje wzbudzą naszą wątpliwość, poprosić o udostępnienie przykładowych dokumentów potwierdzających zgodność z RODO albo nawet przeprowadzić audyt sprawdzający. Taka weryfikacja powinna następować cyklicznie również po rozpoczęciu współpracy.

Niestety z naszego doświadczenia wynika, że często zdarza się powierzanie danych bez odpowiedniej weryfikacji podmiotu lub po jego negatywnej weryfikacji, ale takie przypadki, jako Inspektorzy Ochrony Danych (IOD) u naszych Klientów, zawsze pozostawiamy do decyzji biznesowej obarczonej ryzykiem konsekwencji. Te konsekwencję mogą wystąpić ze strony organu nadzorczego (PUODO) lub skutkować negatywnymi skutkami związanymi z nieprawidłowym przetwarzaniem danych przez podmiot przetwarzający (np. wyciek danych i związane z nim straty finansowe lub wizerunkowe).

Pobierz wpis w wersji pdf

Podobne wpisy:

Robimy newsletter – krok po kroku

Newsletter to bardzo popularna forma budowania i podtrzymywania kontaktów tak z klientami jak i potencjalnymi klientami. Dzięki niemu możemy np. informować o nowościach, promocjach, istotnych dla nas wydarzeniach, itp. Wydaje się, że w dzisiejszych czasach ciężko sobie wyobrazić stworzenie sensownej strategii marketingowej bez sięgnięcia po tak istotne narzędzie jakim niewątpliwie jest newsletter.  W niniejszym wpisie, […]

Czy powinienem wyznaczyć Inspektora Ochrony Danych?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) określa przypadki, w których wyznaczenie Inspektora Ochrony Danych (IOD) przez Administratora Danych Osobowych (ADO) jest obowiązkowe.
Nawet gdy przepisy nie nakładają konkretnego obowiązku wyznaczenia IOD lub gdy nie jesteśmy do końca pewni czy obowiązek dotyczy naszej organizacji czy też nie, zaleca się rozważenie dobrowolnego wyznaczenia takiej osoby.

10 błędów przy wdrożeniu RODO – „papierowe” wdrożenie

Dziś mijają dwa lata od wejścia w życie RODO. Czy przez ten czas przedsiębiorcom udało się osiągnąć pełną zgodność z nowymi przepisami? Z naszego doświadczenia wynika, że spora część firm dokonała wdrożenia jedynie formalnie, a przygotowana dokumentacja często nie odpowiada indywidulanym potrzebom danej organizacji. Niedawno Związek Firm Ochrony Danych Osobowych opublikował zestawienie 10 największych błędów […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki