Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Umowa powierzenia przetwarzania danych osobowych dziś i według RODO

Coraz więcej administratorów danych stara się zbudować i wdrożyć w swojej strukturze skuteczny system ochrony danych osobowych. Przyczyną tych działań jest stale rosnąca wśród społeczeństwa świadomość ochrony prawa do prywatności, jak również coraz głośniejsza dyskusja o unijnym rozporządzeniu dotyczącym ochrony danych, którego przepisy znajdą zastosowanie od maja 2018 r.

Nie każdy z administratorów zdaje sobie jednak sprawę z ilości elementów, które składają się na kompletny system ochrony danych. Nierzadko spotykamy się z sytuacją, w której Klient jest przekonany o tym, że spełnia wszystkie wymogi Ustawy o ochronie danych osobowych, tylko dlatego, że opracował wymaganą dokumentację, zarejestrował zbiór w rejestrze GIODO, a na formularzach marketingowych zamieścił odpowiednie klauzule zgód na przetwarzanie danych.

W praktyce, ochrona danych osobowych jest procesem znacznie bardziej złożonym. To nie tylko dokumentacja, rejestracja zbiorów i zgody. To również kontrola nad przekazywaniem danych na zewnątrz oraz obowiązek zawierania umów powierzenia przetwarzania danych osobowych.

To właśnie tym umowom przyjrzymy się dzisiaj bliżej. Jaką powinny mieć formę? Jakie postanowienia powinny znaleźć się w ich treści? Jakie zmiany w zakresie umów powierzenia wprowadza nowe unijne rozporządzenie o ochronie danych osobowych i jak się do nich przygotować?

Powierzenie przetwarzania danych

Rosnące znaczenie outsourcingu usług powoduje, że obecnie praktycznie każdy, nawet najmniejszy podmiot korzysta z pomocy zewnętrznych specjalistów (informatyków, prawników, księgowych, etc.). W takich sytuacjach nierzadko dochodzi do przekazania danych osobowych podmiotom zewnętrznym, np. dokumentacji pracowniczej czy list płac firmie kadrowo-płacowej. Przekazanie to przyjmuje formę powierzenia przetwarzania danych osobowych.

Na naszym blogu pisaliśmy już o istocie powierzenia oraz o odpowiedzialności administratora danych i podmiotu przyjmującego dane w powierzenie (https://blog-daneosobowe.pl/powierzenie-danych-osobowych-odpowiedzialnosc-i-orzecznictwo/).

Dla potrzeb niniejszego artykułu niezbędnym jest jednak przypomnienie, że warunkiem zgodnego z prawem powierzenia przetwarzania danych osobowych, jest zawarcie umowy powierzenia przetwarzania danych.

Obecnie obowiązek ten określa art. 31 Ustawy o ochronie danych osobowych (uodo), natomiast od 25 maja 2018 r., stosownych przepisów regulujących tę materię należy szukać w art. 28 Ogólnego rozporządzenia o ochronie danych osobowych (rodo).

Forma umowy

 

Umowa powierzenia przetwarzania danych osobowych zawierana jest pomiędzy administratorem danych oraz podmiotem przyjmującym dane w powierzenie tzw. procesorem (z ang. processor).

Zgodnie z postanowieniami art. 31 ust. 1 uodo, umowa powierzenia przetwarzania danych osobowych powinna zostać zawarta w formie pisemnej. Nie oznacza to jednak, że zawsze musi być to podpisany przez obie strony wydruk. Równoważne formie pisemnej będzie oświadczenie złożone w postaci elektronicznej, opatrzone bezpiecznym podpisem elektronicznym, który wywołuje takie same skutki, jak podpis własnoręczny.

Posługiwanie się podpisem elektronicznym nie jest jednak czymś powszechnym, zwłaszcza wśród podmiotów prywatnych, które znacznie częściej w związku ze swoją działalnością powierzają dane osobowe. Z drugiej strony, coraz więcej umów jest zawieranych na odległość, w sytuacji braku fizycznego kontaktu obu stron umowy. Dotyczy to głównie usług online, np. hostingu.

Brak dochowania wymogu formy pisemnej nie wywiera skutku w postaci nieważności umowy. W konsekwencji, umowa powierzenia przetwarzania danych osobowych niespełniająca tego wymogu (np. umowa ustna) od strony prawa cywilnego jest ważna, natomiast może powodować niekorzystne skutki na gruncie prawa administracyjnego – naruszenie przepisów uodo i sankcje w postaci decyzji administracyjnej.

Jak z kolei określa formę umowy powierzenia nowe rozporządzenie? Rodo w swoich przepisach wskazuje na formę pisemną, w tym formę elektroniczną umowy. Tym samym, wychodzi naprzeciw wskazanym wcześniej sytuacjom. Forma elektroniczna dopuszcza bowiem składanie oświadczenia za pośrednictwem poczty e-mail, przez wybór określonej opcji na stronie internetowej, która oferuje określoną usługę bądź świadczenie, czy też przekazanie oświadczenia zapisanego na elektronicznym nośniku informacji (np. płycie CD, pendrive).

Podobnie jak obecnie uodo, rodo nie określa skutków niedochowania formy pisemnej umowy. Nie będzie ono zatem rodziło negatywnych skutków na gruncie prawa cywilnego, jednakże będzie stanowiło naruszenie postanowień rozporządzenia. Rodo natomiast, wprowadza daleko szerzej idące sankcje za naruszenie jego postanowień, w tym m.in. wysokie kary finansowe. Warto zatem, aby forma umowy była prawidłowa.

Elementy umowy

Opracuj samodzielnie umowę powierzenia, albo...

...pójdź na skróty i pracuj na szablonie, którego autorami są eksperci Kancelarii Lex Artist – lidera na rynku ochrony danych osobowych w Polsce. Więcej informacji znajdziesz na poniższym porównaniu:

 

Umowa powierzenia

85 zł
  • Szablon umowy powierzenia, zgodny z RODO

Pakiet Rozszerzony

620 zł
  • Pakiet podstawowy + poniższe elementy
  • Pakiet 5 szkoleń e-learningowych dla pracowników
  • Szablon umowy powierzenia, zgodny z RODO
  • Szablony klauzul: informacyjnej, zgody na przetwarzanie
  • Szablon ewidencji nadanych uprawnień w systemach IT
  • Pakiet dla ABI: Jawny Rejestr Zbiorów, powołanie / odwołanie

Pakiet Podstawowy

210 zł
  • Polityka Bezpieczeństwa
  • Instrukcja Zarządzania Systemami Informatycznymi
  • Instrukcja wdrażania

Zgodnie z obowiązującym stanem prawnym, umowa powierzenia przetwarzania danych osobowych powinna określać zakres oraz cel przetwarzania danych osobowych.

Przez zakres należy rozumieć zarówno kategorie danych osobowych (imię, nazwisko, adres, itp.) jak i operacje, jakie procesor może wykonywać na powierzonych mu danych (przechowywanie, zbieranie, usuwanie, itp.). Najlepiej, aby zakres przetwarzania danych wskazany został enumeratywnie. Jeżeli jednak nie jesteśmy w stanie tego dokonać, chociażby ze względu na rodzaj współpracy (np. usługa niszczenia dokumentów z różnymi danymi), wystarczy wskazanie zbiorów danych osobowych lub też zapis, iż powierzenie następuje w zakresie niezbędnym do realizacji umowy o współpracy.

Określenie celu wiąże się natomiast ze wskazaniem przeznaczenia danych osobowych, czym jest po prostu realizacja usług będących przedmiotem umowy o współpracy.

Administrator danych zawarł z podmiotem zewnętrznym umowę świadczenia usług kadrowo-płacowych. Umowa powierzenia w takim wypadku powinna wskazywać, że powierzenie nastąpiło:

  • w zakresie zbioru danych Pracownicy oraz wykonywania takich operacji na powierzonych danych jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie,
  • w celu realizacji umowy świadczenia usług kadrowo-płacowych tj. administracja kadr i płac.

Uodo wprowadza jedynie dwa elementy obligatoryjne, które powinna zawierać umowa powierzenia. Rodo idzie w tym zakresie znacznie dalej. Zgodnie z art. 28 rodo, umowa powierzenia powinna określać: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, obowiązki i prawa administratora, a także obowiązki procesora, których przykładowe wyliczenie zawiera ustęp 3 wskazanego artykułu.

Oznacza to, że na gruncie rodo umowa powierzenia została znacznie rozbudowana. Unijny prawodawca znacznie zwiększył ilość elementów, które powinna zawierać, tym samym czyniąc ją bardziej szczegółową.

Większość z nowych elementów jest łatwa w interpretacji i wskazaniu. Mając bowiem przed sobą umowę główną o współpracy, administrator danych jest m.in. w stanie określić czas powierzenia przetwarzania danych. Niektóre z nich mogą jednak sprawiać niemałe kłopoty. Co bowiem należy rozumieć przez charakter przetwarzania? Czy oznacza to, że administrator powinien określić czy dane będą przetwarzane w formie papierowej czy za pomocą systemów informatycznych? Czy też poprzez charakter należy raczej rozumieć zakres wykonywanych operacji na powierzonych danych? Czyli tak jak obecnie rozumiemy pojęcie zakresu. Czym natomiast jest rodzaj danych? Czy chodzi o kategorie danych osobowych czy też wskazanie czy są to dane zwykłe czy też dane wrażliwe?

Oprócz wymogu szczegółowego opisu procesu powierzenia przetwarzania danych, rodo wskazuje również obowiązki procesora, których wyliczenie powinno znaleźć się w zawieranej umowie (art. 28 ust. 3 pkt a)-h) rodo). Zaliczymy do nich m.in.:

  • przetwarzanie danych osobowych wyłącznie na udokumentowane polecenie administratora,
  • zapewnienie, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
  • podejmowanie wymaganych środków zabezpieczających przetwarzane dane osobowe,
  • pomoc administratorowi w wywiązywaniu się z obowiązków wobec osób, których dane dotyczą,
  • po zakończeniu świadczenia usług związanych z przetwarzaniem, usunięcie lub zwrot wszelkie dane osobowe oraz usunięcie ich istniejących kopii (zależnie od decyzji administratora).

Powyższe obowiązki nie stanowią tak naprawdę rewolucji w konstrukcji umowy powierzenia. Wielu administratorów już teraz nie poprzestaje jedynie na wskazaniu zakresu i celu powierzenia w zawieranej umowie, ale określa szczegółowo przysługujące mu uprawnienia oraz obowiązki procesora. W szczególności, większość umów powierzenia z jaką mieliśmy do czynienia podczas naszej pracy, określała kwestie związane z usunięciem lub zwrotem danych po zakończeniu usług.

Niemniej jednak, rodo, wskazując wprost obowiązki procesora związane z przetwarzaniem danych osobowych, ułatwia tym samym administratorom sporządzanie stosownych zapisów o powierzeniu. Zwiększa również gwarancje ochrony powierzanych danych.

Trzymając się naszego przykładu, spróbujmy określić zatem elementy obligatoryjne dla umowy powierzenia na gruncie art. 28 rodo, w związku z outsourcingiem administracji kadr i płac.

 

Administrator danych zawarł z podmiotem zewnętrznym umowę świadczenia usług kadrowo-płacowych. Umowa powierzenia przetwarzania danych osobowych określa:

  • przedmiot: przedmiotem przetwarzania są dane osobowe pracowników administratora danych,
  • czas: okres obowiązywania umowy świadczenia usług kadrowo-płacowych,
  • charakter: przetwarzanie danych osobowych w formie papierowej oraz przy wykorzystaniu systemów informatycznych / przetwarzanie danych o charakterze wykonywania takich operacji jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie,
  • cel: realizacja umowy świadczenia usług kadrowo-płacowych tj. administracja kadr i płac,
  • rodzaj danych osobowych: dane osobowe ze zbioru Pracownicy / dane zwykłe oraz dane wrażliwe,
  • kategorie osób, których dane dotyczą: pracownicy administratora danych,
  • obowiązki i prawa administratora: prawo dokonywania kontroli warunków przetwarzania danych osobowych / obowiązek cyklicznego sprawdzania merytorycznej poprawności powierzanych danych osobowych,
  • obowiązki procesora: art. 28 ust 3 pkt a)-h) rodo.

W zależności od stosunków łączących administratora danych z procesorem,w umowie powierzenia przetwarzania danych można również zastrzec inne niż wskazane w uodo lub rodo elementy – m.in. kary umowne za naruszenie postanowień umowy.

Umowa powierzenia a podpowierzenie

Powierzając przetwarzanie danych osobowych, administrator danych powinien wziąć pod uwagę fakt, że podmiot któremu dane powierza, może korzystać z pomocy innych podmiotów w zakresie realizacji swoich usług. Wystarczy, że wspominana już niejednokrotnie w tym artykule firma kadrowo-płacowa, będzie przetwarzała dane pracowników administratora na serwerach, których hostingiem zajmuje się podmiot zewnętrzny. Wówczas będzie miało miejsce podpowierzenie przetwarzania danych osobowych.

Uodo nie reguluje kwestii związanych z podpowierzeniem przetwarzania danych. Mimo braku regulacji, przyjmuje się, że praktykę podpowierzenia danych osobowych można uznać za zgodną z przepisami uodo, jeżeli:

  • w treści umowy powierzenia danych osobowych wskazane zostaną konkretne podmioty, którym dane osobowe mogą być podpowierzane;
  • w toku wykonywania umowy powierzenia danych osobowych procesor uzyska pisemną zgodę administratora danych na podpowierzenie danych konkretnemu podmiotowi;
  • przetwarzanie danych osobowych przez podwykonawcę procesora pozostaje w granicach celu i zakresie przetwarzania danych określonych w umowie powierzenia.

Jak to z kolei wygląda na gruncie rodo? Rozporządzenie przewiduje wymóg uzyskania przez procesora pisemnej zgody administratora danych na przekazanie powierzonych danych innemu podmiotowi. Zgoda może mieć charakter zgody szczegółowej (wskazanie konkretnego podmiotu) lub ogólnej (w tym przypadku procesor musi poinformować administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając administratorowi możliwość wyrażenia sprzeciwu).

Zgodnie z rodo, zgoda na podpowierzenie danych osobowych musi zostać wyrażona przez administratora w formie pisemnej. W tym wypadku, rodo nie zastrzega wprost możliwości wyrażenia takiej zgody również w formie elektronicznej. Część z przedstawicieli doktryny wskazuje jednak, że pełnomocnictwo do podpowierzenia danych może mieć formę zarówno pisemną, jak i równoważną jej formę elektronicznej.

Trudno jednak już teraz ocenić i przewidzieć jak będzie wyglądało w tej sprawie stanowisko organów nadzorujących przetwarzanie danych osobowych lub sądów. Wszystko zweryfikuje praktyka. Zamieszczając zatem zapisy o podpowierzeniu przetwarzania danych osobowych już w treści zawieranej umowy powierzenia, warto zadbać o to, żeby miała ona jednak formę pisemną. Tym samym czyniąc zadość literalnemu brzmieniu przepisów rozporządzania.

Ustawa o ochronie danych osobowych Ogólne rozporządzenie o ochronie danych osobowych
Podstawa
  • art. 31
  •  art. 28
Forma umowy
  • forma pisemna
  • forma pisemna, w tym forma elektroniczna
Elementy umowy
  • zakres danych osobowych
  • cel przetwarzania
  • przedmiot
  • czas trwania powierzenia
  • charakter i cel przetwarzania
  • rodzaj danych osobowych
  • kategorie osób, których dane dotyczą
  • warunki podpowierzenia przetwarzania danych
  • obowiązki i prawa administratora danych
  • obowiązki procesora
Podpowierzenie
  • brak regulacji
 
  • pisemna zgoda administratora danych (szczegółowa lub ogólna)

Chcesz być RODO Ready?

Zapraszamy na praktyczne szkolenie poświęcone tematyce nowego Rozporządzenia.
  • Termin: 15/11/2017
  • Miejsce: Warszawa
  • Czas: 8 godzin
  • Cena: 750 zł netto
Więcej o szkoleniu

Podsumowanie

Zarówno na gruncie uodo jak i rodo, zawarcie umowy powierzenia przetwarzania danych osobowych nie stanowi uprawnienia administratora danych lecz jest jego obowiązkiem. Każdy z tych aktów prawnych, w mniejszym bądź większym zakresie, wprowadza elementy, które obligatoryjnie powinny znaleźć się w zawieranej umowie.

Nowe rozporządzenie unijne nie wprowadza rewolucji w konstrukcji samej umowy. Stanowi raczej ewolucję jej zapisów i kładzie nacisk na konieczność bardziej szczegółowego określania przedmiotu powierzenia oraz obowiązków procesora w zakresie powierzenia przetwarzania danych osobowych.

Pomimo tego, że przepisy rodo znajdą zastosowanie dopiero od 25 maja 2018 r., warto, aby administratorzy danych, już teraz pochylili się nad zapisami zawartych umów powierzenia i w miarę potrzeby dokonali w nich stosownych zmian. To samo tyczy się umów, które administrator dopiero planuje zawrzeć.

Czas jaki pozostał nam do dostosowania procesu ochrony danych do nowych przepisów jest tylko z pozoru długi. Już teraz każdy administrator danych powinien powoli zacząć wdrażać nowe rozwiązania przewidziane przez rozporządzenie, tak aby w przededniu rozpoczęcia stosowania jego przepisów móc sobie powiedzieć, że jest prawdziwie rodo ready.

 

Powiązane artykuły

Recenzujemy najnowszy projekt ustawy o ochronie danych osobowych!
Pozostał rok na dostosowanie się do systemu RODO/GDPR
Zgoda na przetwarzanie danych osobowych według RODO

17 Odpowiedzi

  1. Grzesiek

    A czy do przekazania przetwarzania danych osobowych podmiotom zewnętrznych, potrzebna jest zgoda osób, których dane osobowe są przetwarzane?
    Konkretnie chodzi o niszczenie danych (dokumentów papierowych), przez zewnętrzną firmę. Co do zasady nie będą mieli wglądu w te dane (specjalnie przygotowane pojemniki) ale chcą aby podpisać umowę o powierzenie przetwarzania danych osobowych w celu ich zniszczenia. Natomiast nie ma odrębnej zgody na przekazanie danych osobowych w tym celu.

    1. Kancelaria Lex Artist

      Nie, w przypadku powierzenia przetwarzania danych osobowych nie jest konieczna zgoda osób, których dane dotyczą. W takim przypadku, podstawę przekazania danych stanowi umowa powierzenia przetwarzania danych. Zawarcie takiej umowy będzie konieczne m.in. właśnie w przypadku korzystania z usług firm niszczących dokumenty. To, że firma ta stosuje zamykane pojemniki i nie ma wglądu do treści dokumentów nie ma w tym przypadku znaczenia – samo przechowanie danych i ich niszczenie jest już bowiem ich przetwarzaniem.

  2. Klaudia

    Dzień dobry,
    a jak wygląda kwestia przekazywanych wizytówek – zawierają imię, nazwisk, mail, telefon etc. Czy zmierzamy do absurdu, w którym i to jest powierzeniem danych osobowych?
    Klaudia

    1. Kancelaria Lex Artist

      Nie, przekazanie wizytówki nie będzie powierzeniem przetwarzania danych i nie będzie wymagało zawarcia umowy 🙂 Nie ulega wątpliwości, że dane wskazane na wizytówce (tj. imię, nazwisko, e-mail, telefon) są danymi osobowymi. Pamiętajmy jednak, że wręczając komuś wizytówkę, z własnej woli udostępniamy swoje dane, celem ich późniejszego wykorzystania (taki jest bezpośredni zamiar towarzyszący przekazaniu komuś swojej wizytówki). Tego rodzaju działania nie będziemy zatem kwalifikować jako powierzenie danych do przetwarzania podmiotowi zewnętrznemu.

  3. Michał

    “Wystarczy, że wspominana już niejednokrotnie w tym artykule firma kadrowo-płacowa, będzie przetwarzała dane pracowników administratora na serwerach, których hostingiem zajmuje się podmiot zewnętrzny. Wówczas będzie miało miejsce podpowierzenie przetwarzania danych osobowych.”

    Powierzenie przetwarzania danych osobowych będzie miało miejsce wyłącznie, jeśli hosting jest zarządzany, bądź wykorzystywana jest określona forma przetwarzania danych przez firmę hostingową (przykładowo, jej oprogramowanie typu SaaS). Jeśli są to serwery typu VPS (tzw. hosting niezarządzany), którym zarządza dział IT wspomnianej firmy kadrowo-płacowa, kiedy usługodawca nie ma dostępu do danych oraz nie posiada wiedzy o fakcie przetwarzania danych, nie ma przesłanek stanowiących potrzebę podpisania umowy powierzenia danych osobowych.

    1. Kancelaria Lex Artist

      Panie Michale, dziękujemy za komentarz, ma Pan jak najbardziej rację. Z powierzeniem przetwarzania danych, w rozumieniu art. 31 uodo, będziemy mieli do czynienia wówczas, gdy podmiot udostępniający infrastrukturę informatyczną posiada wiedzę co do charakteru przetwarzanych danych. Natomiast, jeżeli podmiot udostępniający nie posiada tej wiedzy, to podlega on postanowieniom Ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną i jego odpowiedzialność za przechowywane dane jest ograniczona zgodnie z art. 12–15 tej ustawy.

      W skrócie, w przypadku hostingu, umowę powierzenia podpisujemy, gdy z natury świadczonej przez dostawcę usługi wynika, że posiądzie on wiedzę o zgromadzonych danych (dot. to np. usług administracji bazą danych, aplikacją służącą do przetwarzania danych lub całym systemem operacyjnym i aplikacjami, usług odzyskiwania danych, wykonywania ich kopii zapasowych). Z kolei podpisanie umowy powierzenia nie będzie konieczne, gdy dostawca będzie dostarczał jedynie platformę sprzętowa lub systemową (dot. to np. hostingu bez administracji, kont shellowych, serwerów VPS bez administracji).

      1. Jakub

        Nie zgodzę się tutaj. Przecież firma hostingowa ma dostęp fizyczny do platformy sprzętowej serwera. Co za tym idzie ma dostęp do danych na serwerach VPS czy innych.
        Zatem ADO powinien wybrać takiego dostawcę VPS który podpiszę umowę PPDO.
        Pamiętajmy, że przecież dostęp fizyczny do infrastruktury także powinien być odpowiednio zabezpieczony.

        A to, że firma hostingowa “nie posiada wiedzy o zgromadzonych danych” można odnieść do wszystkiego. Np. do sklepów oferowanych w modelu SaaS. Udostępniam platformę sklepową, ale nie posiadam wiedzy czy osoba korzystająca z moich usług uruchomi sobie ten sklep i będzie pobierać dane czy też nie.

  4. Anna

    Mam problem z ustaleniem, czy w przypadku współpracy z ubezpieczycielami typu Hermes Kuke przy okazji zawierania kredytów kupieckich muszę mieć w umowie z Hermesem i Kuke podpisaną umowę na powierzenie lub udostępnienie? Czy inne przepisy zwalniają mnie z obowiązku informowania Kontrahenta, iż będę się ubezpieczać i zgłaszać ich dane do ubezpieczyciela bez ich wiedzy ? Generalnie we wniosku o przyznanie limitu jest miejsce na wpisanie osoby do kontaktu z ramienia Kontrahenta typu imię nazwisko, nr telefonu, e-mail, fax.

  5. Jarek

    Witam,
    czy firma zawierając umowę z projektantem, który w trakcie wykonywania zleconych prac pozyskuje w jej imieniu dane osobowe np. w uzyskanych zgodach właścicieli gruntów na ich zbycie lub ustanowienie służebności lub pozyskuje dane o właścicielach aby ich powiadomić np. o planowanych w sąsiedztwie robotach budowlanych powinna zawrzeć w tej umowie zapisy o powierzeniu projektantowi przetwarzania danych osobowych? Czy to jest przetwarzanie danych osobowych. Projektant w efekcie końcowym przekazuje pozyskane zgody i inne informacje (zawierające dane osobowe) firmie zlecającej prace. Czy projektant powinien uzyskać zgodę osób, których dane są przetwarzane w swoim imieniu czy w imieniu firmy zlecającej?

    1. Kancelaria Lex Artist

      Dzień dobry.
      Mamy trochę za mało informacji aby udzielić precyzyjnej odpowiedzi. Jednak bazując na tych podanych w komentarzu:
      1) Powierzenie czy upoważnienie. Tutaj zawsze jest pewien dylemat. Jeśli projektant jest de facto freelancerem i nie ma swojego zespołu, to warto wziąć pod uwagę nadanie upoważnienia do przetwarzania danych osobowych. Tym samym potraktować projektanta tak jak własnego pracownika. Jeśli za działaniami projektanta stoi raczej cały zespół i firma – to zdecydowanie powierzenie.
      Tym samym odpowiadając na kolejne pytanie – tak dochodzi do przetwarzania danych osobowych.
      2) Co do zgód osób, których dane pozyskuje projektant – najbezpieczniej będzie jeśli zgody i obowiązki informacyjne będą wystawiane już na firmę zlecającą. Bo zakładamy, że to ta firma decyduje tak naprawdę o celach i środkach całego procesu przetwarzania danych.
      3) Co do pozyskiwania samych zgód od właścicieli nieruchomości – tu mamy za mało danych – zgoda jest najczęściej najbardziej bezpieczną formą. Pytanie czy nie można tutaj oprzeć się na innych przesłankach art.23 – np. prawnie usprawiedliwionym celu i ograniczyć się do zapewnienia samego obowiązku informacyjnego. Pozostawiamy to do rozważenia bo na ten moment mamy trochę za mało informacji.

      pozdrawiamy,

  6. Tomasz

    W jednym budynku jest biblioteka i przedszkole. By zaoszczędzić pieniądze chcą zrobić wspólny monitoring. Czy umowa powierzenia wystarczy dla takiego działania ?

  7. Monika

    Czy firma deweloperska przekazując do notariusza dane klienta, z którym będzie podpisywała umowę deweloperską powinna poinformować klienta, że udostępnia jego dane kancelarii notarialnej, czy może powinna mieć podpisaną z kancelarią umowę powierzenia?

  8. Kasia

    Witam Bardzo interesujący artykuł, za pewne wielokrotnie do niego powrócę.
    Mam pytanie odnośnie przetwarzania danych przez pracowników (zatrudnionych na podstawie umowy o pracę) czy z nimi też trzeba podpisać umowy? czy upoważnienia? a co jak pracownik przetwarza dane w różnych zbiorach czy do każdego trzeba osobną zgodę, czy ma znaczenie jak zakres baz się różni?

    1. Kancelaria Lex Artist

      Witamy 🙂 Jeśli mówimy o pracownikach zatrudnionych na umowę o pracę, to dla nich powinno być wystawione upoważnienie. W naszej praktyce w upoważnieniu uwzględniamy nazwy zbiorów do których pracownik ma dostęp w związku z wykonywanymi czynnościami np. w przypadku pracownika Kadr w treści uwzględniamy przykładowo dostęp do zbiorów “Rekrutacja”, “Pracownicy”.

  9. Basia

    Witam,
    centrala (spółka-matka) udostępniła w mojej firmie licencje Office 365. W ramach usługi Office 365 przetwarzane są dane z praktycznie wszystkich zbiorów danych (poczta, dokumenty pakietu office, itd.). W takim przypadku to chyba z centralą powinniśmy podpisać umowę powierzenia przetwarzania danych – nie z Microsoftem 🙂 ?

Zostaw odpowiedź