niedziela, 10 czerwca 2018

Kiedy upoważnienie a kiedy umowa powierzenia przetwarzania danych?


Umowa o powierzeniu przetwarzania danych osobowych oraz upoważnienie do przetwarzania danych osobowych to znane instrumenty prawne zagwarantowane przez RODO, które są swego rodzaju kontynuacją dotychczas obowiązujących przepisów z zakresu danych osobowych. 

Ważną kwestią pozostaje jaki będzie katalog podmiotów, wobec których można zastosować czy to umowę czy też upoważnienie, przy zachowaniu wszelkich wymogów i warunków jakimi objęte są te instrumenty prawne. 

Można uznać, że podstawowym kryterium, oprócz brzmienia przepisów stanowiących o upoważnieniu i umowie na przetwarzanie danych osobowych, jest realny wpływ i podległość wobec administratora danych osobowych czy też podmiotu przetwarzającego, często też jego wewnętrzna polityka działania. Nie bez znaczenia pozostaje też kwestia charakteru podmiotu z jakim współpraca ma zostać podjęta. W praktyce rodzi to duże problemy ocenne, gdyż w naszych uwarunkowaniach prawnopracowniczych, znaczna część osób, która prowadzi działalność gospodarczą, powinna de facto być zatrudniona na umowę o pracę, gdyż spełnia przesłanki zatrudnienia na podstawie stosunku pracy, zwłaszcza podległość pracodawcy.

Uznaje się, iż upoważnienie do przetwarzania danych osobowych, które oparte jest na poleceniu administratora danych osobowych lub podmiotu przetwarzającego, jest wystarczającym środkiem na podstawie którego osoby fizyczne mogą przetwarzać dane osobowe zgodnie z poleceniem. Oczywiście zastrzec należy, iż są to osoby, które w jakiś sposób związane są z administratorem lub procesorem. Przykładem takiego działania jest upoważnienie udzielane przez administratora lub procesora na rzecz swoich pracowników, stażystów, praktykantów, osób współpracujących na podstawie stosunku cywilnoprawnego. Zatem ma tu miejsce podległość takiej osoby wobec administratora czy to procesora, w zależności od sytuacji.

Natomiast w przypadku podejmowania współpracy z podmiotami prowadzącymi działalność gospodarczą w formie zarówno jednoosobowej działalności gospodarczej jak i spółki, winno dojść do powierzenia przetwarzania danych osobowych w drodze zawarcia umowy na przetwarzanie danych osobowych. Takie stanowisko można opierać przede wszystkim na fakcie, iż współpraca z powyższymi podmiotami nie zawiera w sobie podległości wobec administratora danych osobowych czy też podmiotu, któremu zostało powierzone przetwarzanie danych osobowych. Przykładami takiej współpracy, w związku z którą powinna zostać zawarta umowa o powierzenie danych osobowych jest współpraca z biurem księgowym, firmą techniczno-informatyczną, warto też rozważyć także biuro tłumaczeń.

Inaczej będzie w przypadku, gdy w ramach struktury organizacyjnej administratora lub procesora wyodrębnione są działy np. informatyczny, księgowy, które podlegają bezpośrednio administratorowi danych osobowych bądź podmiotowi przetwarzającemu. Wtedy za wystarczające można stwierdzić udzielenie upoważnienia takim osobom, funkcjonującym w ramach struktury wewnętrznej podmiotu uprawnionego.

Warto podkreślić, że kwestią istotną, choć nie do końca określoną w przepisach jest forma udzielenia zarówno upoważnienia jak i zawarcia umowy na przetwarzanie danych osobowych. Zalecana jest oczywiście forma pisemna, co wynika w przypadku umowy na powierzenie przetwarzania danych osobowych wprost z art. 29 RODO, a co winno być analogicznie zastosowane w stosunku do upoważnienia. Będzie to zabezpieczenie dla podmiotu udzielającego upoważnienia lub zawierającego umowę oraz potwierdzenie działania danych podmiotów w zakresie przetwarzania powierzonych danych osobowych. Takie działanie ma na celu także zagwarantowanie podmiotowi przetwarzającemu wypełniania obowiązków, jakie od 25 maja 2018 roku spoczywają na nim, a przede wszystkim kwestii rozliczalności. Dodatkowo jest to na pewno ta forma zabezpieczenia dla podmiotu jest pewnym ułatwieniem wykazania procedury przetwarzania danych osobowych w ramach działalności danego administratora czy też procesora.

Pozostałe posty o RODO i danych osobowych: kliknij tu.

Anna Dudkiewicz
prawnik

Brak komentarzy:

Prześlij komentarz

Prosimy o pozostawienie komentarza w temacie posta. Jesteśmy wdzięczni za Państwa opinie.

W tym miejscu nie udzielamy indywidualnych porad prawnych. Jeśli jesteście Państwo zainteresowani pomocą prawną, prosimy o mailowy (blog@zdanowiczlegal.pl) lub telefoniczny (+22 525 84 44) kontakt z Kancelarią. Koszt pomocy prawnej uzależniony jest od stopnia skomplikowania, charakteru sprawy i nakładu pracy prawnika. Udzielamy także e-porady.

Posty są aktualne w dniu ich publikacji. Nie odpowiadamy za późniejsze zmiany prawa.