Powierzenie danych osobowych – odpowiedzialność i orzecznictwo

Tekst ten będzie pierwszą częścią artykułów poświęconych sytuacjom, w których Administrator danych osobowych przekazuje dane innemu podmiotowi. Niejednokrotnie kwestie związane z powierzeniem i udostępnieniem danych osobowych stają się przyczyną wątpliwości osób zajmujących się ochroną danych osobowych. Wiele razy zastanawiamy się, która z wyżej wymienionych form przekazania danych innemu podmiotowi jest w danym przypadku właściwa, słuszna oraz przede wszystkim zgodna z literą prawa. Wyznacznikiem, który różnicuje te dwa pojęcie jest przede wszystkim rola, jaką w tym procesie odgrywa podmiot otrzymujący dane osobowe. Poniżej przedstawiamy obrazową charakterystykę powierzenia przetwarzania danych osobowych jako jednej z dwóch form przekazywania danych. Zapraszamy do dalszej części artykułu, która znajduje się pod infografiką.

Loading...

Loading…

Podstawy prawne powierzenia przetwarzania danych osobowych

Powierzenie przetwarzania danych osobowych zostało zdefiniowane w art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922, dalej „UODO”). Artykuł ten daje Administratorowi danych osobowych możliwość powierzenia przetwarzania danych osobowych innemu podmiotowi na podstawie zawarcia stosownej pisemnej umowy.

Podmiot, któremu powierzono przetwarzanie danych może dokonywać go jedynie w zakresie i celu przewidzianym w umowie. Jako zakres przetwarzanych danych rozumiemy poszczególne kategorie danych (np. imię, nazwisko, stanowisko, adres e-mail, adres zamieszkania, płeć) lub zbiory danych (np. Pracownicy, Klienci, Marketing). Cel to albo wskazanie konkretnych operacji, jakie może wykonać na powierzonych danych albo powołanie się na umowę, w związku, z którą następuje powierzenie.

Umowa taka może dotyczyć różnych form przetwarzania danych, na przykład przetwarzania danych w chmurze, przez firmy marketingowe, kurierów czy wszelkiego rodzaju outsourcing’ów takich jak księgowości.

W praktyce oznacza to, że Administrator dzięki zawarciu umowy powierzenia nie wykonuje czynności obejmujących przetwarzanie samodzielnie, lecz przekazuje je innemu podmiotowi zgodnie z umową.

Kwestia odpowiedzialności – ADO i przyjmującego w powierzenie 

Podmiot, który przyjmuje dane w powierzenie z związku z zawarta umową nie staje się ich administratorem, ponieważ nie decyduje o celach i środkach przetwarzania danych. Wykonuje on jedynie czynności związane z przetwarzaniem w imieniu i na rzecz Administratora danych. Ustawa w żaden sposób nie określa tej funkcji, podmiot ten można nazwać procesorem, przyjmującym w powierzenie lub wykonawcą. Zgodnie z art. 31 ust. 3 UODO procesor zobowiązany jest jeszcze przed rozpoczęciem przetwarzania danych do wdrożenie środków je zabezpieczających (art. 36-39 UODO) oraz spełnić wymogi z art. 39a między innymi posiadać dokumentacje z zakresu ochrony danych osobowych. W umowie powinny zostać dokładnie wskazane prawa oraz obowiązki, podmiotu, któremu powierzono przetwarzania danych. Jej treść powinna zostać dostosowana do konkretnego przypadku, a w szczególności zawierać postanowienia z art. 31 UODO.

Zasadą jest, że odpowiedzialność za przestrzeganie przepisów UODO spoczywa na Administratorze danych, ale w przypadku powierzenia nie wyłącza to odpowiedzialności podmiotu, z którym została zawarta umowa. Podmiot przyjmujący dane w powierzenie ponosi odpowiedzialność cywilną w stosunku do administratora, która wynika z postanowień wyżej wspomnianej umowy. Z tytułu spełnienia wymogów zabezpieczenia danych ponosi odpowiedzialność administracyjną (kontrola GIODO), a także może odpowiadać za złamanie przepisów karnych UODO (rozdział 8).

Nie możemy zapomnieć, że Administratorowi danych przysługuje również prawo kontroli zgodności przetwarzania danych przez podmiot przyjmujący dane w powierzenie.

A może podpowierzenie?

Kwestie związane z podpowierzeniem danych osobowych nie zostały uregulowane na gruncie UODO. Jednak tak zwane dalsze powierzenie jest sytuacją, która bardzo często zdarza się w praktyce rynkowej. Mamy z nim do czynienia, gdy podmiot, któremu powierzamy dane osobowe (wykonawca) przekazuje je w dalsze powierzenie (podwykonawcy). Administrator danych powinien zadbać by w umowie powierzenia odnieść się również do sytuacji, w których konieczne może być podpowierzenie danych i zabezpieczyć ten proces na przykład poprzez zapis o wyrażeniu zgody na podpowierzenie. Umowa taka powinna spełniać wszystkie wymogi przewidziane w art. 31 UODO odnoszące się do powierzenia. Należy pamiętać, że podmiot, któremu podpowierzono dane również ponosi odpowiedzialność za nie przestrzeganie przepisów UODO.

Co na to orzecznictwo? 

Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 19 sierpnia 2008 r. II SA/Wa 605/08 LEX

„Administratorem danych będzie ten podmiot, który decydując o celu przetwarzania danych będzie konkretyzował jego zakres, aby odpowiadał on potrzebom bardziej szczegółowo określonego zadania publicznego.

Odesłanie zawarte w art. 31 ust. 5 ustawy o ochronie danych osobowych nakazujące „odpowiednie” stosowanie przepisów oznacza, że w postępowaniu kontrolnym, a zwłaszcza przy wydawaniu decyzji, powinna być uwzględniona specyfika przetwarzania danych na podstawie umowy. Natomiast przy ustalaniu adresata decyzji należałoby przyjąć, iż te decyzje Generalnego Inspektora, które odnoszą się do uchybień w zakresie określonym w art. 36-39 i przepisach wykonawczych określonych w art. 39a powinny być z reguły skierowane do podmiotu przetwarzającego dane.” 

Wyrok Sądu Apelacyjnego w Warszawie z dnia 23 września 2015 r. VI ACa 1357/14 LEX

„Przepis art. 31 ust. 4 u.o.d.o. stanowi, że odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową. Nie chodzi tu jednak o odpowiedzialność cywilną, ale o odpowiedzialność przed Generalnym Inspektorem Danych Osobowych, w zakresie wypełnienia obowiązków z art. 36-39 ustawy. Natomiast w sytuacji, gdy dochodzi do naruszenia dóbr osobistych osób trzecich, w związku z bezprawnym przetwarzaniem danych, to zarówno administrator, jak i podmiot, któremu zlecono przetwarzanie danych opowiadają na zasadach ogólnych, przewidzianych w k.c.”

Wyrok Naczelnego Sądu Administracyjnego w Warszawie z dnia 31 stycznia 2012 r. I OSK 1318/11 LEX

„Przewidziana w art. 31 u.o.d.o. instytucja powierzenia przetwarzania danych osobowych wymaga, by zlecającym był właśnie administrator danych, czyli podmiot aktualnie przetwarzający dane osobowe, a nie podmiot mający przetwarzać dane, gdyż tylko przetwarzający dane osobowe decydujące, jak tego wymaga ustawowa definicja administratora danych, o celach i środkach przetwarzania danych, a więc szeregu składających się na ten proces czynności, które mają miejsce, a nie, które zostaną przyjęte.” 

Podsumowanie

Zawierając umowę powierzenie trzeba przede wszystkim pamiętać o wymogach, jakie stawia ustawa o ochronie danych osobowych oraz o zabezpieczeniu interesu Administratora danych. W umowie takiej powinny zostać dokładnie określone obowiązki podmiotu, któremu powierzono dane, uregulowane kwestie podpowierzenia czy rozwiązania umowy. Zanim zdecydujemy się na powierzenie danych należy dokładnie przeanalizować treść umowy ramowej i rozważyć czy powierzenie w tym przypadku jest najwłaściwszym z rozwiązań.

W kolejnej cześć artykułu zajmiemy się charakterystyką i analizą udostępnienia danych osobowych.

Zapraszamy też do zapoznania się z artykułem https://blog-daneosobowe.pl/udostepnianie-powierzanie-i-przekazywanie-danych-osobowych-w-swietle-ustawy-o-ochronie-danych-osobowych-i-praktyki/, który wprowadzi Państwa w podstawowe różnice pomiędzy powierzeniem a udostępnieniem danych osobowych.

Powiązane artykuły

Firmy kurierskie a RODO
rodo faq
Czy z firmą sprzątającą należy podpisać umowę powierzenia? #RODOFAQ
Odpowiedzialność IOD, czyli za co IOD może odpowiadać

91 Odpowiedzi

  1. Hania

    Witam,

    powierzenie przetwarzania danych zostało opisane. Bardzo proszę o opisanie szerzej tematu „Udostępnianie danych osobowych” (np. firmie ubezpieczeniowej w celu ubezpieczenia pracowników i członków ich rodzin na wyjazd). Np. kwestia jak ma wyglądać umowa o udostępnienie +kwestia innych ważnych spraw. Z góry dziękuję. Pozdrawiam

  2. Łukasz Zegarek

    Witam,

    Będzie to kolejna część cyklu artykułów o przekazywaniu danych. Zachęcam do zapoznania się z infografiką (została dodana dopiero dzisiaj), która obrazuje różnice między powierzeniem a udostępnieniem oraz wskazuje w jakich przypadkach najczęściej dane powierzamy, a w jakich własnie udostępniamy.

    Pozdrawiam,

  3. Joanna

    Witam.
    Ośrodek Medycyny Pracy ma podpisaną umowę na wykonywanie badań laboratoryjnych z laboratorium z zewnątrz. Czy w tym przypadku potrzebne jest zawarcie umowy dotyczącej powierzenia danych osobowych? (Na skierowaniu przekazujemy imię, nazwisko, numer PESEL, datę urodzenia oraz miejsce zamieszkania).

    1. Kancelaria Lex Artist

      Tak, w takim przypadku istnieje konieczność podpisania umowy powierzenia przetwarzania danych osobowych zgodnie z art. 31 ustawy. Jeżeli między Ośrodkiem Medycyny Pracy, a zewnętrznym laboratorium nie zostanie podpisana stosowana umowa podmioty te mogą narazić się na odpowiedzialność za naruszenie przepisów ustawy o ochronie danych osobowych.

  4. Dorota

    Witam serdecznie
    Bardzo proszę o informację, czy należy podpisać umowę powierzenia czy wystarczy jakiś dokument potwierdzający udostępnienie danych zatrudnionych osób lekarzowi sprawującymi nadzór nad pracownikami oraz prawnikowi zatrudnionemu na umowę zlecenie w mojej firmie?
    Dziękuję

    1. Kancelaria Lex Artist

      Wszystko zależy od konstrukcji samej umowy głównej. Jeśli umowa z lekarzem dotyczy medycyny pracy będziemy mieć do czynienia z udostępnieniem danych osobowych pracowników na podstawie przepisów prawa. W sytuacji gdy są to jakieś dodatkowe usługi świadczone na rzecz pracowników najczęściej będzie to udostępnienie danych na podstawie zgody pracownika. W przypadku prawnika zatrudnionego na umowę zlecenia w firmie najlepszym rozwiązaniem będzie nadanie mu upoważnienia do przetwarzania danych osobowych.

  5. Anna

    witam serdecznie,
    Chciałabym uzyskać informację jak należy postąpić w przypadku dzieci z placówek, kiedy na Zespół, gdzie omawiana jest sytuacja podopiecznego (zdrowie, edukacja, zachowanie) są zapraszane osoby z zew. np. nauczyciel. Jaki art z ustawy należy zastosować, co ma dokładnie zawierać druk?

    1. Kancelaria Lex Artist

      W takim przypadku nauczyciel czy na przykład psycholog szkolny powinien posiadać upoważnienie do przetwarzania danych osobowych obejmujące swoim zakresem dane osobowe dzieci z placówki

  6. Karolina

    Witam. Jako spółdzielnia mieszkaniowa doręczamy korespondencje naszym lokatorom za pośrednictwem tzw. dozorców, którzy zatrudnieni są w firmie zewnętrznej. Zawarliśmy z tą firmą umowę powierzenia przetwarzania danych, czy mamy także nadać upoważnienia dozorcom czy sama ta umowa wystarczy?

    1. Kancelaria Lex Artist

      W takim przypadku wystarczająca jest sama umowa powierzenia przetwarzania danych osobowych. Poprzez jej zawarcie zgodnie z art. 31 ustawy o ochronie danych osobowych firma zewnętrzna zobowiązuje się do podjęcia środków zabezpieczających zbiór danych, w tym między innymi nadania swoim pracownikom stosownych upoważnień do przetwarzania danych osobowych.

  7. Ewa

    Dzień dobry,

    chciałam podpytać o firmy kurierskie, wydawało mi się, że w ich przypadku mamy do czynienia z udostępnieniem danych a nie powierzeniem. Bardzo proszę o bardziej szczegółowe wyjaśnienie…

    1. Kancelaria Lex Artist

      Pani Ewo,
      To jedno z tych pytań, na które usłyszymy bardzo różne odpowiedzi.
      Stanowisko GIODO w tym zakresie nie jest jednoznaczne. Z jednej strony możemy znaleźć wypowiedzi odnoszące się do udostępnienia danych osobowych firmom kurierskim http://www.giodo.gov.pl/1520007/id_art/3213/j/pl/.
      Pojawiają się również stanowiska świadczące o tym, że przedsiębiorca i firma kurierska powinni być związani stosunkiem powierzenia danych osobowych – decyzja GIODO z dnia 21 września 2011 r. (DOLiS/DEC-819/11 dot. DOLiS-440-661/10/GP/I).
      My sugerujemy następujące kryterium praktyczne. Jeśli filarem mojej firmy, jest współpraca z firmami kurierskimi np. sklep internetowy. To wtedy zawieramy umowę powierzenia z firmami kurierskimi.
      Jeśli współpracuję z firmami kurierskimi jedynie w celach pomocniczych (co jakiś czas przesyłka, dokument, nadanie, odbiór paczki) – to wtedy traktujemy proces jako udostępnienie.

  8. Ewa

    I jeszcze jedno pytanie, czy RODO reguluje w jakiś sposób kwestię nadawania upoważnień dla pracowników do przetwarzania danych osobowych? Czy warto je utrzymać po 25 maja 2018?

    1. Kancelaria Lex Artist

      RODO bardzo lakonicznie odnosi się do kwestii upoważnień. Ten temat został poddany deregulacji. Bardzo możliwe, że dobre praktyki, które wyda Prezes nowego Urzędu Ochrony Danych Osobowych będą zawierały rekomendację co do treści i formy upoważnień do przetwarzania danych osobowych.

      My rekomendujemy utrzymanie upoważnień. Ten dokument podkreśla odpowiedzialność pracownika za przetwarzane przez niego dane osobowe. Poświadcza również, że pracownik zobowiązał się do zachowania danych w tajemnicy i jest w pełni świadom odpowiedzialności. Nadanie upoważnienia nie raz już bardzo przydało się w naszej praktyce w różnych trudnych sytuacjach (np. wycieków danych). W trakcie kontroli GIODO czy policji mogliśmy wykazać, że jako ADO dochowaliśmy najwyższej staranności przy zabezpieczeniu danych.

  9. Anna

    Dzień dobry,

    Mam problem z zaklasyfikowaniem czy mam do czynienia z powierzeniem czy udostępnieniem i co dalej z tym począć. A mianowicie chodzi mi o przekazywane puste formularze deklaracji ubezpieczeniowej dla pracowników, jest to ubezpieczenie dobrowolne. Na kwestionariuszu jest informacja, iż ADO jest zakład ubezpieczeń. Dział Kadr przekazuje te deklaracje Pracownikowi, on ma możliwość wpisania siebie jak i osoby sobie bliskie np. Konkubinę. Następnie deklaracje z danymi osobowymi trafiają do ubezpieczalni za pośrednictwem Działu Kadr, który ewidencjonuje dane osobowe z formularza do systemu należącego do ubezpieczyciela. Pytanie brzmi czy powinno mieć przedsiębiorstwo podpisaną umowę o powierzeniu? Czy jednak jest to udostępnienie.

    1. Kasia

      Ponieważ tutaj wykraczamy poza cel przetwarzania związany z wykonywaniem obowiązków pracodawcy, zakład ubezpieczeń powinien zawrzeć z pracodawcą umowę powierzenia, której celem będzie zebranie danych i przekazanie do zakładu będącego ADO.

    2. Kancelaria Lex Artist

      Dzień dobry, wszystko zależy od dokładnej treści umowy oraz treści informacji widniejącej na formularzu. W tak przedstawione sytuacji dochodziło będzie do udostępnienia danych osobowych.

  10. Ewa

    Dzień dobry,
    czy spotkaliście się Państwo z problemem przetwarzania danych osobowych w przypadku świadczenia nieodpłatnej pomocy prawnej finansowanej przez państwo? Zgodnie z ustawą pomoc ta świadczona jest przez prawników (w tym adwokatów i radców prawnych) na rzecz osób uprawnionych, które składają określonej treści oświadczenia w formie pisemnej, zawierające dane osobowe. Oświadczenia te odbierają prawnicy i następnie przekazują je raz w miesiącu staroście, który zgodnie z ustawą jest ADO zawartych w tych oświadczeniach. Prawnicy świadczą pomoc prawną na podstawie umowy zlecenia zawartej z powiatem. Czy w takiej sytuacji wystarczy upoważnienie, czy powinna być zawarta umowa o powierzeniu przetwarzania danych osobowych? Pomoc ta udzielana jest także przez prawników działających z ramienia organizacji pozarządowych, które to organizacje zawierają umowy z powiatem – czy w takiej sytuacji również możliwe jest upoważnienie tych prawników, czy też należ zawrzeć umowę powierzenia przetwarzania danych z tą organizacją?

    1. Kancelaria Lex Artist

      W opisanym przypadku należy przyjąć, że powinna być zawarta umowa powierzenia. Istotny jest fakt, że nie musi być to odrębny dokument- tą kwestię można uregulować w umowie na świadczenie nieodpłatnej pomocy prawnej.

  11. Sylwia

    Witam,

    w celu dokonania wypłat pracownik naszej firmie generuje poprzez system odpowiednie dane i wysyła je do banku (są to następujące dane osobowe: Imię, nazwisko, nr konta, adres zamieszkania). Czy w związku z tym powinniśmy podpisać z bankiem umowę powierzenia przetwarzania danych czy może istnieją jakieś przepisy bankowe, które mówią o braku konieczności podpisywania takiej umowy?

    1. Kancelaria Lex Artist

      Witamy 🙂

      Niestety, posiadamy za mało informacji na temat opisanego przez Panią problemu, ale na pewno w pierwszej kolejności warto zajrzeć do umowy zawartej z bankiem w celu sprawdzenia czy nie ma w niej stosownych zapisów dotyczących danych osobowych. Zapraszamy do skorzystania z naszego wsparcia https://blog-daneosobowe.pl/wsparcie/

  12. Piotr

    Dzień dobry

    Firma podpisała umowę o świadczenie usług medycznych w zakresie profilaktycznych badań lekarskich (okresowych i kontrolnych). W umowie brak jest klauzuli dotyczącej ochrony danych osobowych.
    Wykazałem ten fakt ADO jako naruszenie ochrony danych osobowych.
    Radca Prawny twierdzi, że nie potrzeba zawierania klauzuli o ochronie danych osobowych ani podpisywania oddzielnej umowy o powierzeniu przetwarzania danych osobowych, gdyż regulują to „przepisy wyższego rzędu” – Rozporządzenie Ministra Zdrowia z dnia 29 lipca 2010 r. w sprawie rodzajów dokumentacji medycznej służby medycyny pracy, sposobu jej prowadzenia i przechowywania oraz wzorów stosowanych dokumentów art. 11.

    Czy Radca Prawny ma rację, czy jednak powinniśmy podpisać umowę powierzenia przetwarzania danych osobowych?

    1. Kancelaria Lex Artist

      Dzień dobry,
      Umowa powierzenia a sposób w jaki jest prowadzona dokumentacja medyczna to dwa różne zagadnienia. W opisanym przez Pana przypadku w pierwszej kolejności należałoby ustalić czy nie mamy do czynienia z udostępnieniem danych-w tej sytuacji nie ma konieczności podpisywania umowy powierzenia. Zachęcam do zapoznania się z infografiką z komentowanego artykułu, która obrazuje różnice między powierzeniem a udostępnieniem oraz wskazuje w jakich przypadkach najczęściej dane powierzamy, a w jakich własnie udostępniamy. pozdrawiamy

      1. Agnieszka

        Chciałabym zagłębić się w kwestię medycyny pracy. Z informacji w artykule i powyższego komentarza wynika, że w przypadku umowy o świadczenie usług medycznych w zakresie profilaktycznych badań lekarskich (medycyna pracy) należy zawrzeć umowę powierzenia przetwarzania w trybie art. 31 UODO. Nie jestem pewna czy jest to prawidłowe stanowisko bo według mnie mamy w tej sytuacji dwóch administratorów danych, z których każdy przetwarza dane w innym celu. Wydaje się więc, że właściwą konstrukcją jest udostępnienie danych a nie powierzenie przetwarzania. Zawarcie umowy powierzenia przetwarzania będzie skutkowało niemożnością egzekwowania praw i obowiązków wynikających z powierzenia przetwarzania, Jak realizować prawo do kontroli przetwarzania czy usunięcia danych po zakończeniu umowy gdy dokumentacja prowadzona przez podmiot leczniczy jest dużo szersza niż ta to której ma dostęp pracodawca (dokumentacja zawiera w części dane, które przekazuje jednostce pracodawca (m.in. na skierowaniach na badania), ale zawiera też inne dane, w zakresie szerszym niż dostarczone przez pracodawcę). Gdyby więc przyjąć, że podmiot leczniczy jest procesorem, to wiązałoby się to m.in. z uprawnieniem pracodawcy żądania usunięcia danych lub ich zwrotu po zakończeniu obowiązywania umowy. Jednostka tego zrobić nie może – musi przechowywać dokumentację medyczną zgodnie z przepisami prawa i jedynie ma obowiązek przekazać dokumentację innej, wskazanej przez pracodawcę jednostce, jeżeli ulegnie ona zmianie. Żadne z tych danych nie trafiają natomiast w ręce pracodawcy, a już na pewno nie mogą być usunięte na jego żądanie. W jednej ze swoich decyzji GIODO prezentuje następujące stanowisko „W ocenie Generalnego Inspektora Ochrony Danych Osobowych oczywistym jest, iż pracodawca kierując pracownika na badania profilaktyczne, wystawia mu w tym celu stosowane skierowanie zawierające dane pozwalające na ustalenie tożsamości osoby poddanej badaniom. Nie budzi bowiem najmniejszych wątpliwości, iż dla przeprowadzenia przedmiotowych badań, niezbędne jest to, aby zakład opieki zdrowotnej przeprowadzający przedmiotowe badania
        profilaktyczne dysonował wiedzą o danych osoby badanej. Tym samym, pracodawca kierując
        swojego pracownika na badania profilaktyczne musi udostępnić dane tego pracownika placówce
        wykonującej badanie.”

        1. Kancelaria Lex Artist

          Witamy! Ma Pani rację, ale w przytaczanym przez Panią komentarzu nie wyraziliśmy opinii, iż w przypadku medycyny pracy mamy do czynienia z powierzeniem przetwarzania danych osobowych, tylko właśnie z udostępnieniem. 🙂 Proszę również zerknąć na nasz komentarz z 21 lutego 2017 r. pod tym wpisem – tam również potwierdzamy, iż w przypadku medycyny pracy przekazywanie danych odbywa się w formie udostępnienia. Pozdrawiamy!

  13. Dariusz

    czy po nowemu (RODO), jak mam zawartą umowę o powiersenie przetwarzania danych, to musze realizować obowiązek informacyjny z art. 14 RODO ?

    1. Kancelaria Lex Artist

      Dzień dobry! Jeśli jest Pan procesorem, to nie ma konieczności realizacji wspomnianego obowiązku informacyjnego. Jako administrator danych osobowych oczywiście taki obowiązek istnieje, nie ma jednak konieczności podawania w klauzuli informacyjnej, że dane będą powierzane innym podmiotom (procesorom). Pozdrawiamy. 🙂

  14. Ewa

    Dzień dobry, czy dobrze rozumiem, że w przypadku ubezpieczeń dodatkowych dla pracowników, firma (pracodawca) udostępnia dane pracowników ubezpieczycielowi jako ADO? Czy tak samo dzieje się w przypadku współpracy z brokerem ubezpieczeniowym, który likwiduje np. szkody komunikacyjne?

    1. Kancelaria Lex Artist

      Dzień dobry. W przypadku ubezpieczeń dodatkowych mamy do czynienia z udostępnieniem danych osobowych pracowników do ubezpieczyciela. Jest tak, jak Pan napisał – firma występuje jako ADO. W przypadku współpracy z brokerem ubezpieczeniowym w celu wsparcia procesu likwidacji szkód ubezpieczeniowych (w tym np. komunikacyjnych) mamy z kolei do czynienia z powierzeniem przetwarzania danych osobowych. Administratorem będzie w tym przypadku podmiot, który zleca brokerowi czynności likwidacyjne (najczęściej firma). Pozdrawiamy!

  15. Iwona

    Witam
    Czy istnieje możliwość przekazania informacji dotyczącej miejsca zamieszkania klientów w ramach powierzenia danych osobowych pracownikowi Urzędu miasta

    1. Kancelaria Lex Artist

      Dzień dobry. To zależy, kto przekazuje dane pracownikowi UM i w jakim celu oraz jakie są to dane. Bez bardziej szczegółowych informacji ciężko udzielić jednoznacznej informacji. Pozdrawiamy!

  16. Iwona

    Witam
    Proszę o informację czy istnieje możliwość podania danych osobowych – adresów na podstawie umowy o powierzeniu danych osobowych pomiędzy ośrodkiem pomocy społecznej a urzędem miasta. Są to dwie odrębne jednostki informacje podawane są na podstawie odpowiednich artykułów. Czy art. 31 daje takie uprawnienie

  17. Iwona

    Witam
    W uzupełnieniu wcześniejszego pisma wyjaśniam, iż chodzi o adresy ustalone przez ośrodek pomocy społecznej. Adresy są uzyskane na okres 2-3 lat. Klienci nie wymeldowali się ze starych miejsc zamieszkania (nikt tam nie mieszka). Pracownik urzędu miasta chce ich wymeldować i prosi o adres ośrodek pomocy. Czy możliwe jest podpisanie umowy o powierzeniu danych osobowych.
    Iwona

    1. Kancelaria Lex Artist

      W takim przypadku nie będziemy mieli do czynienia z powierzeniem przetwarzania danych osobowych lecz z udostępnieniem danych. Podstawą udostępnienia jest przepisy art. 35 w związku z art. 34 ust. 1 ustawy o ewidencji ludności i dowodach osobistych. Na podstawie tych przepisów pracownik urzędu miasta może żądać udostępnienia adresu zameldowania danej osoby od ośrodka pomocy społecznej. Pozdrawiamy!

  18. Ewa

    Dzień dobry,

    piszecie Państwo, że w przypadku serwisowania systemów IT najczęściej dochodzi o powierzenia przetwarzania danych osobowych i należy zawrzeć umowę powierzenia. Część naszych kontrahentów sądzi, że w ramach wykonywanych czynności wcale nie przetwarzają danych osobowych zawartych w tych systemach, które dla nas serwisują, konfigurują itd., że mają tylko do nich dostęp, z którego i tak nie korzystają. Pytanie, jak wykazać, że konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych a nie umowy o zachowaniu poufności. Proszę o radę 🙂

    1. Kancelaria Lex Artist

      Dzień dobry. Sam dostęp do danych w ramach serwisu i przeglądu systemów np. możliwość przeglądania baz danych (nawet nieumyślnie) czy ingerowania w nie (chociażby poprzez konfigurację czy serwis) jest przetwarzaniem danych osobowych w rozumieniu ustawy o ochronie danych osobowych. Wymagane jest w związku z tym zawarcie umowy powierzenia. Pozdrawiamy. 🙂

  19. Anna

    Dzień dobry, Jestem ABI-m i mam wątpliwość. Mam pracowników, którzy jadą na imprezę turystyczną. W ramach wyjazdu mają mieć wykupione ubezpieczenie NNW. Zlecamy organizację do biura turystycznego. Podpisujemy umowę. Biuro turystyczne oczekuje podania następujących danych: imię i nazwisko, nr pesel, oraz oświadczenia dotyczącego stanu zdrowia czyli oświadczenia o zachorowaniu na choroby przewlekłe na zasadzie oświadczenia tak/nie. Pracownicy podpisują oświadczenia z deklaracją zgody na przetwarzanie ich danych wrażliwych. I teraz pytania: Powierzenie danych czy udostępnienie danych ze zbioru? Czy może jedno i drugie. Dane będą przekazywane ubezpieczycielowi. Powinnam zgłosić zbiór z danymi wrażliwymi do GIODO?

    1. Kancelaria Lex Artist

      Dzień dobry w ten jakże wiosenny poranek! 🙂 W opisanym przez Panią przypadku mamy do czynienia z udostępnieniem ubezpieczycielowi danych osobowych Państwa pracowników. Z technicznego punktu widzenia zgłaszanie zbiorów nie jest konieczne, ponieważ średni czas rejestracji zbioru wynosi ponad rok, a obowiązek ten zaniknie za niecałe 3 miesiące. Pozdrawiamy!

      1. Anna

        Dziękuję za informacje. Rozumiem, że jeśli technicznie lista pracowników z ich oświadczeniami wychodzi od nas i trafia do biura turystycznego a dopiero biuro turystyczne przekazuje dane ubezpieczycielowi, bo zawiera ubezpieczenie do imprezy – to na zasadzie udostępnienia, ale między biurem turystycznym a ubezpieczycielem. Między nami a biurem turystycznym byłam przekonana, że umowa współpracy oraz umowa powierzenia.

        1. Kancelaria Lex Artist

          Państwo z biurem turystycznym zawieracie umowę powierzenia, a w treści tej umowy (przy czynnościach przetwarzania, do których jest uprawniony procesor) powinno być zawarte, iż procesor może przekazywać dane do ubezpieczyciela w celu zawarcia umowy ubezpieczenia turystycznego. Pozdrawiamy!

  20. beata

    Szpital podpisał umowę na udostępnienie pomieszczeń (oddziałów) wraz z udzielaniem świadczeń zdrowotnych z uczelnią wyższą. Jak uregulować zasady współpracy i kontroli tak aby Administrator czyli Szpital mógł w pełni nadzorować proces przetwarzania danych.

    1. Kancelaria Lex Artist

      Witamy. W umowie na udostępnienie pomieszczeń (oddziałów) należałoby zawrzeć zapisy o powierzeniu przetwarzania danych osobowych albo o zobowiązaniu do zachowania poufności danych osobowych – w zależności jaki jest zakres umowy między szpitalem, a uczelnią. Pozdrawiamy.

  21. anna

    Pracownicy firmy maja możliwość korzystania z kart MultiSport. W tym celu firma zbiera od pracowników zgłoszenia/ wnioski w których m.in jest zgoda na przekazanie danych do Multisport oraz zgoda na przetwarzanie danych przez Multisport.
    Czy w tej sytuacji wymaga jest umowa powierzenia danych osobowych? Jeśli tak, to kto komu powierza dane??

    1. Kancelaria Lex Artist

      Dzień dobry! Ta kwestia jest ostatnio bardzo na czasie w kontekście RODO. Była też, stosunkowo niedawno, przedmiotem oceny GIODO (decyzja z 11 września 2015 r.). Na jej podstawie można stwierdzić, że to spółka dystrybuująca karty typu MultiSport jest administratorem danych osobowych użytkowników, natomiast pracodawca jest procesorem (podmiotem przyjmującym dane w powierzenie) w zakresie pobierania i przekazywania wniosków o objęcie programem. Pozdrawiamy!

      1. Ewa

        Dzień dobry,
        jak Państwo zapewne wiecie firma Multisport wysłała w ostatnim czasie umowy powierzenia do wsystkich klientów i zmienia .
        1) W Państwa ikonografii karty sportowe to udostępnienie.
        2) Ale na konkretnym przykładzie jeżeli pracodawca ma podpisaną umowę z Multisport daje możliwość skorzystania pracownikom i osobom towarzyszącym z usług Multisport (jest to dodatkowy bonus/element wynagrodzenia od pracodawcy, ponieważ karta dla pracownika jest dotowana, więc i cel własny pracodawcy). Pracodawca jako zbiera zgodę od pracownika na udostępnienie danych do Multisport, dane przekazuje do Multisport w excel. A Multisport indywidualnie zbiera zgodę na przetwarzanie danych pracownika/osoby towarzyszącej.Rozumiem że mamy dwóch ADO, pracodawce i Multisport
        3) jak tu będzie z tym powierzeniem o którym piszą państwo wyżej?
        4) Czy Pracodawca na gruncie umowy o świadczenie usług nie będzie drugim ADO skoro jest to dodatkowy element wynagrodzenia?

        1. Kancelaria Lex Artist

          Dzień dobry. Rzeczywiście nastąpiła zmiana podejścia w relacji Pracodawca – firma benefitowa. Powodem była decyzja GIODO z 11 września 2015 r., w której treści m. in. GIODO ustalił, iż w tej relacji mamy do czynienia z tzw. odwróconym powierzeniem danych osobowych. W tej relacji jako administrator danych osób, które przystępują do programu/karty jest firma benefitowa, natomiast pracodawca (w zakresie zbierania deklaracji przystąpienia i przekazywania ich do firmy benefitowej) występuje w roli procesora. Stąd przychodzące aneksy i zmiana relacji w zakresie przetwarzania danych osobowych. Pozdrawiamy!

          1. Ela

            Dzień dobry,
            grupa robocza art. 29 widziałaby to chyba trochę inaczej, patrząc na ten przykład i ich interpretacje
            „Biuro podróży przesyła dane osobowe swoich klientów do linii lotniczych i sieci
            hoteli, w celu rezerwacji pakietów turystycznych. Linia lotnicza i hotel potwierdzają
            dostępność żądanych miejsc. Biuro podróży wystawia dokumenty i potwierdzenia dla
            swoich klientów. W tym przypadku, biuro podróży, linia lotnicza i hotel będą trzema
            odrębnymi administratorami danych, z których każdy podlega obowiązkom ochrony
            danych w odniesieniu do przetwarzania danych osobowych we własnym zakresie.”

            Pozdrawiam

  22. Justyna

    Dzień dobry,
    Biuro rachunkowe, z którym współpracujemy, obsługuje nas na terenie naszego biura (dokumenty nie są wynoszone). Jak w takiej sytuacji podejść do tych elementów umowy o powierzeniu, w których niejako sprawdzalibyśmy samych siebie? Mam tu np. prawo do kontroli lub obowiązek stosowania odpowiednich środków bezpieczeństwa. Czy można je pominąć?

    1. Kancelaria Lex Artist

      Dzień dobry. Zapisy powinny być zawarte, ponieważ tego wymaga RODO, natomiast będą one w pewnej części „martwe” natomiast nadal mają Państwo prawo kontrolować procesora, chociażby czy jego systemy informatyczne lub komputery są odpowiednio zabezpieczone. Pozdrawiamy!

  23. Marek

    Jesteśmy prywatną firmą budowlaną. Przez okres ostatnich kilkunastu lat zawarliśmy kilka tysięcy umów z wykonawcami, podwykonawcami, zamawiającymi, kontrahentami. Każdy z tych podmiotów przetwarza określone dane osobowe niezbędne do realizacji umowy. Imię i nazwisko pracownika, uprawnienia, telefon, mail, czasami zdjęcie na identyfikatorze. Czy wobec tego powinienem zawrzeć z tymi podmiotami umowy powierzenia przetwarzania danych osobowych. Bardzo proszę o odpowiedź

    1. Kancelaria Lex Artist

      Dzień dobry. Nie zawsze taka umowa powierzenia jest wymagana. Po pierwsze należy spojrzeć na aspekt tego, czy współpraca z danym podmiotem jeszcze trwa, czy już nie. Po drugie – jeżeli np. realizują Państwo usługi budowlane na rzecz zamawiającego (będącego de facto Państwa Klientem), to nie mamy do czynienia z powierzeniem przetwarzania danych osobowych, tylko z sytuacją, gdzie to Państwo są administratorem danych osobowych Państwa Klientów (np. osób kontaktowych ze strony zamawiającego). Umowy powierzenia zawierać powinno się przede wszystkim w typowych sytuacjach tzw. outsourcingu (gdzie usługi Państwo outsourcują na zewnątrz, albo gdzie usługi są outsourcowane do Państwa). Pozdrawiamy!

  24. Kasia

    Dzień dobry,
    czy obowiązkiem gminy jest zawarcie umowy powierzenia z pocztą, z którą mamy podpisaną umowę na świadczenie usług oraz z bankiem, gdyż bank ma od nas dane np. pracowników, kwoty ich wynagrodzeń? Interesuje mnie również Państwa opinia w sprawie zawarcia umowy powierzenia z Niepublicznym Zakładem Opieki Zdrowotnej, do którego kierujemy np. naszych strażaków ochotników ze skierowaniem na wykonanie badań niezbędnych do uczestnictwa w akcjach ratowniczo-gaśniczych.

    1. Kancelaria Lex Artist

      Dzień dobry. Naszym zdaniem we wszystkich opisanych sytuacjach mamy do czynienia z udostępnieniem, a nie powierzeniem przetwarzania danych osobowych. Pozdrawiamy!

  25. Ola

    Pracuje w gminnym ośrodku pomocy społecznej. Mój kierownik otrzymał od wójta gminy w zakresie czynności upoważnienie do realizacji zadań wynikających z Karty Dużej Rodziny. Kiedy chcieliśmy zgłosić zbiór ten GIODO, otrzymaliśmy informację, że ten zbiór jest zbiorem gminy a nie gopsu, gdyż to wójt z mocy ustawy wydaje taką kartę. Czy w obecnej sytuacji gmina powinna zawrzeć z nami (gopsem) umowę powierzenia czy może upoważnić kierownika do przetwarzania tych danych?

    1. Kancelaria Lex Artist

      Dzień dobry. Powinna zostać zawarta umowa powierzenia, ponieważ GOPS jest odrębną jednostką organizacyjną i odrębnym administratorem danych osobowych. Pozdrawiamy!

  26. Marta

    Witam
    Mam pytanie czy rewident zakładowy i jednocześnie specjalista ds. kontroli może być Inspektorem ? Moim zdaniem następuje konflikt interesów bo sam siebie nie skontroluje. Bezwzględnie należy rozdzielić personalnie te dwa stanowiska.

    1. Kancelaria Lex Artist

      Dzień dobry. To już zależy od Państwa decyzji. Konflikt interesów faktycznie może wystąpić, jednak znane są przypadki np. z norm ISO 9001 czy 27001, kiedy to audytor wewnętrzny pełni również funkcję pełnomocnika zarządu ds. (na przykład) systemu zarządzania bezpieczeństwem informacji. Istotnym jest, aby taka osoba świadczyła pracę/usługi na podstawie dwóch odrębnych stosunków. Pozdrawiamy!

  27. Tomasz

    Witam, czy administrator danych musi ponownie wykonać Art. 13 i otrzymać od pracownika zgodę na przetwarzanie danych w kwestionariuszu zgłoszeniowym niezbędnym do udziału w pracowniczych zawodach np. sportowych. Nadmieniam, że wszystkie dane niezbędne do zgłoszenia pracownika ma dział kadr, ale zawody są dobrowolne i to pracownik się do nich zgłasza.

    1. Kancelaria Lex Artist

      Dzień dobry. Nie ma obowiązku ponownego spełniania obowiązku informacyjnego oraz pozyskiwania zgody, jeśli dane przetwarzano legalnie pod rządami poprzedniej ustawy. Pozdrawiamy!

  28. Marta

    Dziękuję bardzo za odpowiedź. Jeśli można wykonywać te dwa stanowiska dlaczego muszą być rozdzielone jeśli chodzi o umowę. Czy jest podstawą prawa, która to reguluje.

    1. Kancelaria Lex Artist

      Żaden przepis nie nakazuje tego wprost, ale jest wspomniany już wcześniej obowiązek zapobiegania konfliktowi interesów. Wydaje się, że jest to jeden ze sposobów uniknięcia tego konfliktu. Pozdrawiamy!

  29. Iza

    Witam, firma X jest właścicielem 3-piętrowego budynku. Każde z pięter jest wynajmowane przez 3 różne inne firmy. Na parterze jest stanowisko ochrony (z którą jest zawarta umowa powierzania) przy którym znajduje się książka wejsć/wyjśc do budynku (różni petenci przychodzą do różnych firm). Czy w momencie zbierania danych (przy legitymowaniu osób wchodzących) należy wypełnić obowiązek informacyjny (np. poprzez umieszczenie stosownych informacji przy książce wejść/wyjść) ? Czy administratorem tych danych będzie firma ochroniarska czy firma X? Budynek nie posiada monitoringu/kamer.

    1. Kancelaria Lex Artist

      Dzień dobry. Administratorem danych będzie firma zarządzająca budynkiem, a firma ochroniarska jest procesorem (na co wskazuje również umowa powierzenia). Należy dopełnić obowiązku informacyjnego, podany przykład jest prawidłowy. Pozdrawiamy!

  30. Gabriela

    Witam, czy podstawą funkcjonowania monitoringu w firmie może być art. 6 ust 1 lit. c RODO?
    Chodzi o ochronę mienia i osób przebywających w firmie?
    a okres przechowywania nagrań to 3 miesiące?

    Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. W przypadku monitoringu pełniącego funkcję poprawy bezpieczeństwa zdecydowanie polecamy przesłankę prawnie uzasadnionego interesu administratora danych tj. art. 6 ust. 1 lit. f RODO. Pozdrawiamy! 3-miesięczny okres przechowywania danych, na chwilę obecną. dotyczy monitoringu realizowanego przez pracodawcę zgodnie z Kodeksem pracy. Pozdrawiamy!

  31. Gabriela

    Dziękuję serdecznie!
    Rozumiem, że osoby nie mają prawa żądać przenoszenia ich danych, usunięcia czy też sprostowania.. w związku z tym prawem jakie przychodzi mi do głowy odnośnie monitoringu jest prawo do wglądu do swoich danych tylko nie wiem czy to dobrze interpretuję i proszę o wskazówkę w tym zakresie?
    pozdrawiam

  32. Ewelina

    Dzień dobry, czy po wejściu w życie RODO firma windykacyjna powinna zawierać umowy powierzenia przetwarzania danych osobowych z klientami, z którymi już nie współpracuje? To znaczy tematy zostały zakończone (dłużnik spłacił zobowiązanie wobec klienta) i klient nie zleca już niczego nowego, ale firma windykacyjna nadal przechowuje dokumenty i e-maile dotyczące wykonanego już zlecenia. Dodam, że dokumenty i e-maile przechowywane są jedynie na wypadek ewentualnych roszczeń i do czasu upływu przedawnienia zobowiązania podatkowego. Czy w takim wypadku ze „starymi” klientami też trzeba podpisywać umowy czy tylko z obecnymi i przyszłymi klientami?

    1. Kancelaria Lex Artist

      Dzień dobry. Dla bezpieczeństwa warto byłoby zawrzeć umowę powierzenia, ponieważ nadal mamy do czynienia z przetwarzaniem danych osobowych. Pozdrawiamy!

  33. Anna

    Dzień dobry, czy w świetle nowych wskazówek UODO dotyczących monitoringu, gdzie jest wyraźnie podkreślone że organy publiczne nie mogą powoływać się na art. 6 ust. 1 lit. f RODO jako przesłankę funkcjonowania monitoringu, ale w związku ze swoją działalnością można uznać, że jeśli monitoring nie jest związany z działalnością danej instytucji publicznej, to nadal można stosować jako podstawę art. 6 ust. 1 lit. f RODO? Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Na wytyczne organu nadzoru wpływu nie mamy, więc instytucje publiczne powinny powoływać się albo na obowiązek prawny (art. 6 ust. 1 lit. c RODO) albo na wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO). Pozdrawiamy!

  34. Anna

    Dziękuję! Chociaż ten art. 6 ust. 1 lit. f wydawał nam się najbardziej odpowiedni, skoro nasza działalność nie jest w ogóle związana z monitorowaniem obszarów…. czy obecnie któraś z polskich ustaw mówi o obowiązku monitorowania obszaru w instytucji publicznej?
    pozdrawiam

  35. Ksenia

    Dzień dobry,
    Czy podmiot przetwarzający jest jednocześnie odbiorcą danych? Czy mam obowiązek poinformować osoby, których dane dotyczą o podmiotach przetwarzających z którymi zawarłam umowę powierzenia, np. firma informatyczna, na której programie pracujemy, mająca dostęp do danych?

  36. TM

    Witam, czy imię i nazwisko oraz adres e-mail i nr tel służbowy pracownika na uczelni podlega ochronie danych osobowych i czy można powyższe dane umieszczać na stronie internetowej. Wyrok z dnia 19 listopada 2003 r. o sygn. I PK 590/02 nie widzi przeciwwskazań. Pozdrawiam.

    1. Kancelaria Lex Artist

      Dzień dobry. Jedno nie wyklucza drugiego. To, że zestaw informacji, stanowiących dane osobowe, podlega ochronie (co niewątpliwie ma miejsce w opisanej sytuacji), nie oznacza, że danych nie można przetwarzać. Ochrona danych osobowych nie równa się zakazowi ich przetwarzania. Pozdrawiamy!

  37. Piotr

    Szanowni Państwo
    Czy jeżeli jestem instytucją szkolącą (Stowarzyszeniem) i niestety nie mam zgody na wysyłanie informacji o przyszłych szkoleniach, a zależy nam żeby rozszerzyć nasze uprzednie cele – czy mogę w tej sytuacji skorzystać z posiadanego już maila (podstawą jest zgoda podmiotu) i poprosić podmioty o zgodę na możliwość wysłania in informacji o przyszłych szkoleniach?

    1. Kancelaria Lex Artist

      Dzień dobry. Istnieje ryzyko, że takie działanie (samo zapytanie o zgodę na wysyłkę informacji handlowej) jest już naruszeniem art. 10 ust. 2 ustawy o świadczeniu usług drogą elektroniczną. Pozdrawiamy!

  38. Anna

    REWELACYJNY BLOG! oprócz dobrej opisówki 😉 jeszcze liczne odpowiedzi na pytania, z których też można się wiele dowiedzieć. Pozdrawiam

  39. Astra

    dzień dobry,
    z tego co wyczytałam, jak handluje z inna firmą i podaje jej dane moich pracowników, to powinna być umowa udostępnienia danych, ale wtedy druga firma jest administratorem tych danych i robi z nimi co chce, a jak ja chcę by tylko w konkretnych celach z tych danych moich pracowników korzystali to nie mogę zawrzeć umowy powierzenia?

    1. Kancelaria Lex Artist

      Dzień dobry. Udostępnienie danych osobowych nie wymaga umowy, natomiast powierzenie raczej w tej relacji możliwe nie będzie (o ile dane Państwa pracowników przekazywane są do innej firmy w ramach tzw. osób kontaktowych). To nie jest jednak tak, że administrator danych może robić z danymi to, co chce. Przetwarza dane w konkretnym celu i na konkretnej podstawie prawnej. Pozdrawiamy!

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO