iSecure logo
Blog

Uregulowanie stosunku powierzenia

Kategorie

Każda współpraca pomiędzy podmiotami, polegająca na wykonywaniu czynności na danych osobowych, które to czynności określa jeden z tych podmiotów (administrator danych osobowych), a wykonuje je drugi w jego imieniu (podmiot przetwarzający), musi zostać uregulowana umową powierzenia.

Zdarza się, że podmioty powierzając dane, nie do końca zdają sobie sprawę, że dana czynność jest właśnie powierzeniem danych osobowych. Do takich sytuacji należy np. hosting, przechowywanie dokumentów, itp. Zapominamy, że zgodnie z definicją „przetwarzania”, przechowywanie danych jest również ich przetwarzaniem. Wydawać by się mogło, że przetwarzanie danych to wykonywanie na tych danych konkretnych operacji, ale nie tylko. Nawet samo ich przeglądanie jest już ich przetwarzaniem. Kolejnym przykładem niezidentyfikowania stosunku powierzenia jest kwestia przetwarzania np. danych służbowych pracowników. RODO nie rozdziela danych osobowych na dane prywatne i służbowe. Definicja danych osobowych mówi o zidentyfikowaniu lub o możliwości zidentyfikowania osoby fizycznej po tych danych, a po danych służbowych jak najbardziej jest możliwe zidentyfikowanie konkretnej osoby.

Jeżeli już zidentyfikujemy stosunek powierzenia danych przy danej współpracy, to oczywiście powinniśmy podpisać umowę powierzenia. Możliwe jest to jednak nie tylko podpisanie umowy powierzenia, ale i sama współpraca, wyłącznie z podmiotem, który spełnia wymogi RODO. Nie wystarczy samo oświadczenie umowne o spełnianiu takich wymogów. My, jako podmiot, który ma zamiar powierzyć dane do dalszego przetwarzania innemu podmiotowi, powinniśmy go pod tym kątem odpowiednio zweryfikować – przeanalizować zapisy na stronie internetowej podmiotu, jeżeli taką posiada, przekazać do wypełnienia i podpisania kwestionariusz weryfikacyjny, a jeżeli jakieś informacje wzbudzą naszą wątpliwość, poprosić o udostępnienie przykładowych dokumentów potwierdzających zgodność z RODO albo nawet przeprowadzić audyt sprawdzający. Taka weryfikacja powinna następować cyklicznie również po rozpoczęciu współpracy.

Niestety z naszego doświadczenia wynika, że często zdarza się powierzanie danych bez odpowiedniej weryfikacji podmiotu lub po jego negatywnej weryfikacji, ale takie przypadki, jako Inspektorzy Ochrony Danych (IOD) u naszych Klientów, zawsze pozostawiamy do decyzji biznesowej obarczonej ryzykiem konsekwencji. Te konsekwencję mogą wystąpić ze strony organu nadzorczego (PUODO) lub skutkować negatywnymi skutkami związanymi z nieprawidłowym przetwarzaniem danych przez podmiot przetwarzający (np. wyciek danych i związane z nim straty finansowe lub wizerunkowe).

Pobierz wpis w wersji pdf

Podobne wpisy:

4 istotne obszary, na które administrator powinien zwrócić szczególną uwagę przy powierzeniu przetwarzania danych

Czym jest powierzenie przetwarzania danych osobowych? Z powierzeniem przetwarzania danych osobowych mamy do czynienia w sytuacji, w której podmiot będący administratorem danych osobowych powierza podmiotowi zewnętrznemu (podmiotowi przetwarzającemu) przetwarzanie danych w związku z realizacją przez ten podmiot określonych usług na rzecz administratora, takich jak np. rachunkowość, archiwizacja dokumentów, IT, monitoring, w określonych przypadkach rekrutacja pracowników […]

Kontrola uprawnień i dostępów do systemów zgodnie z RODO

Wstęp Niniejszy artykuł ma na celu omówienie znaczenia i implikacji kontroli uprawnień oraz dostępów do systemów w erze cyfrowej, gdzie informacje szybko zyskują na wartości. RODO, inicjatywa Unii Europejskiej, określa surowe kryteria dotyczące przetwarzania danych osobowych, a wśród nich właśnie kontrola uprawnień i dostępów odgrywa kluczową rolę. Zarządzanie tymi uprawnieniami nie jest jedynie wyzwaniem technologicznym, […]

Jak bezpiecznie utylizować i wymieniać sprzęt z danymi osobowymi?

Utylizacja lub oddanie starego sprzętu firmowego, na którym przechowywane były dane osobowe, wymaga szczególnej ostrożności, aby zapewnić bezpieczeństwo tych danych. Jeśli sprzęt nie jest odpowiednio wyczyszczony, może dojść do wycieku danych, co stanowi naruszenie przepisów ochrony danych osobowych. Poniżej prezentuję kluczowe kwestie, o których należy pamiętać, aby zachować bezpieczeństwo danych osobowych: Zabezpieczenie danych przed utylizacją […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki