O umowach powierzenia przetwarzania danych pisałem już dość dawno temu w tym miejscu, niemniej jako że temat jest dość szeroki i na pierwszy rzut oka skomplikowany, warto do niego powrócić, co też poniżej czynię.
Ustawa o ochronie danych osobowych poświęca ww. umowom zaledwie jeden artykuł, a mianowicie art. 31. Żeby lepiej zrozumieć o co w nim chodzi, spróbujmy przeanalizować jego poszczególne zapisy.
Pierwszą istotną informację otrzymujemy już na samym początku: "Administrator danych może powierzyć innemu podmiotowi (...) przetwarzanie danych". Oznacza to, że np. przedsiębiorca będący "właścicielem" danych osobowych może te dane przetwarzać także przy pomocy innych podmiotów (firm trzecich). Jak to w praktyce może wyglądać? Wyobraźmy sobie firmę X, która nie ma swoich kadr i płac (w sensie odpowiedniego działu). Taka firma z reguły korzysta wówczas z usług biura rachunkowego, które wspiera ww. firmę w zakresie kadrowo - płacowym wypełniając np. deklaracje pracowników do ZUS, prowadzi ewidencję urlopów etc. Jednym słowem biuro ma dostęp do danych osobowych pracowników firmy X, a więc je przetwarza. I teraz najważniejsze - żeby opisane tu czynności były zgodne z ustawą o ochronie danych osobowych, w umowie łączącej obie te firmy powinny znaleźć się zapisy, o których mowa w art. 31.
O jakie zapisy chodzi? Otóż umowa powierzenia przetwarzania danych powinna:
- być sporządzona na piśmie,
- określać zakres powierzenia (czyli należy wskazać jakie dane powierzamy np. imię, nazwisko, datę urodzenia etc.),
- określać cel powierzenia (np. obsługa kadrowo - płacowa, obsługa IT, przeprowadzenie rekrutacji w imieniu administratora danych etc.),
- zawierać zobowiązanie podmiotu, który przyjmuje dane do przetwarzania o tym, że podjął środki techniczne i organizacyjne, o których mowa w rozdziale 5 ustawy o ochronie danych osobowych (a więc podmiot taki powinien mieć m.in. własną politykę bezpieczeństwa, system upoważnień do przetwarzania danych, ich ewidencję etc.).
To są elementy niezbędne, które muszą pojawić się w takiej umowie. Nie oznacza to jednak, że dokumentu takiego nie można rozbudować o jeszcze inne zapisy. W swojej praktyce spotkałem się zarówno z 1 - paragrafowymi zapisami w umowie podstawowej regulującymi ww. temat, jak również z umowami liczącymi sobie po 5 - 7 stron!
Przykładowo umowę powierzenia można rozbudować o następujące elementy:
- kary umowne,
- uprawnienia kontrolne dla administratora danych,
- możliwość przeprowadzenia audytu przez ABI administratora danych,
Na koniec chciałbym wskazać kilka obszarów, które dość często stanowią przedmiot powierzenia danych:
- call center,
- pozyskiwanie klientów (przedstawiciele handlowi),
- usługi ochroniarskie (np. w centrach handlowych),
- marketing świadczony na rzecz klientów administratora danych (wykonywany w jego imieniu np. wysyłka spersonalizowanego mailingu).
Ustawa o ochronie danych osobowych poświęca ww. umowom zaledwie jeden artykuł, a mianowicie art. 31. Żeby lepiej zrozumieć o co w nim chodzi, spróbujmy przeanalizować jego poszczególne zapisy.
Pierwszą istotną informację otrzymujemy już na samym początku: "Administrator danych może powierzyć innemu podmiotowi (...) przetwarzanie danych". Oznacza to, że np. przedsiębiorca będący "właścicielem" danych osobowych może te dane przetwarzać także przy pomocy innych podmiotów (firm trzecich). Jak to w praktyce może wyglądać? Wyobraźmy sobie firmę X, która nie ma swoich kadr i płac (w sensie odpowiedniego działu). Taka firma z reguły korzysta wówczas z usług biura rachunkowego, które wspiera ww. firmę w zakresie kadrowo - płacowym wypełniając np. deklaracje pracowników do ZUS, prowadzi ewidencję urlopów etc. Jednym słowem biuro ma dostęp do danych osobowych pracowników firmy X, a więc je przetwarza. I teraz najważniejsze - żeby opisane tu czynności były zgodne z ustawą o ochronie danych osobowych, w umowie łączącej obie te firmy powinny znaleźć się zapisy, o których mowa w art. 31.
O jakie zapisy chodzi? Otóż umowa powierzenia przetwarzania danych powinna:
- być sporządzona na piśmie,
- określać zakres powierzenia (czyli należy wskazać jakie dane powierzamy np. imię, nazwisko, datę urodzenia etc.),
- określać cel powierzenia (np. obsługa kadrowo - płacowa, obsługa IT, przeprowadzenie rekrutacji w imieniu administratora danych etc.),
- zawierać zobowiązanie podmiotu, który przyjmuje dane do przetwarzania o tym, że podjął środki techniczne i organizacyjne, o których mowa w rozdziale 5 ustawy o ochronie danych osobowych (a więc podmiot taki powinien mieć m.in. własną politykę bezpieczeństwa, system upoważnień do przetwarzania danych, ich ewidencję etc.).
To są elementy niezbędne, które muszą pojawić się w takiej umowie. Nie oznacza to jednak, że dokumentu takiego nie można rozbudować o jeszcze inne zapisy. W swojej praktyce spotkałem się zarówno z 1 - paragrafowymi zapisami w umowie podstawowej regulującymi ww. temat, jak również z umowami liczącymi sobie po 5 - 7 stron!
Przykładowo umowę powierzenia można rozbudować o następujące elementy:
- kary umowne,
- uprawnienia kontrolne dla administratora danych,
- możliwość przeprowadzenia audytu przez ABI administratora danych,
Na koniec chciałbym wskazać kilka obszarów, które dość często stanowią przedmiot powierzenia danych:
- call center,
- pozyskiwanie klientów (przedstawiciele handlowi),
- usługi ochroniarskie (np. w centrach handlowych),
- marketing świadczony na rzecz klientów administratora danych (wykonywany w jego imieniu np. wysyłka spersonalizowanego mailingu).
3 komentarze:
ja archiwizuję moje dane w banku na wypadek z informacji, które od nich uzyskałem wynika, że przestrzegają wszystkich wymogów ustawowych dotyczących ochrony danych
cóż serwis wygląda dość rzetelnie, dostał nawet dofinansowanie z innowacyjnej gospodarki UE, ale chciałabym się dowiedzieć, jak zabezpieczone zostaną nasze zarchiwizowane, prywatne dane, czy to rzeczywiście jest bezpieczne?
z tego co widać na stronce mają 256 bitowe szyfrowanie danych i zaufany certyfikat Geotrust. Dane nigdy nie będą zabezpieczone w 100%- to nie udaje się nawet bankom, a bank na wypadek ma zabezpieczenia tak dobre jak banki- dają bankową gwarancję bezpieczeństwa
Prześlij komentarz