Powierzenie

pen and inkBardzo często napotykam sytuacje, w których Administrator Danych Osobowych nie identyfikuje procesu powierzenia własnych danych.

Trzeba być świadomym, iż w przypadku braku innej podstawy prawnej na przekazanie danych osobowych przez administratora danych innemu podmiotowi musi nastąpić to przekazanie  na podstawie umowy powierzenia, lub umowy z zapisami o powierzeniu danych.

Każdy podmiot, który przetwarza dane osobowe innego Administratora Danych, czyli zgodnie z ustawa o ochronie danych osobowych te dane:

  • zbiera,
  • utrwala,
  • przechowuje,
  • opracowuje,
  • zmienia,
  • udostępnia,
  • usuwa,
  • lub wykonuje jakiekolwiek inne operacje,

musi mieć do tego podstawę prawną, lub jeśli jej nie ma musi zawrzeć umowę powierzenia danych. Umowa ta, zgodnie z art. 31 ustęp 1 i 2 ustawy o ochronie danych osobowych, musi zawierać Zakres powierzonych danych i Cel ich przetwarzania oraz musi być zawarta na piśmie.

Ważne! Przy podpisaniu takiej umowy nie zmienia się Administrator Danych Osobowych!

Podmiot któremu powierzymy dane staje się tzw. Procesorem i mimo, że nie jest Administratorem Danych to musi spełnić wszystkie wymagania związane z bezpieczeństwem danych osobowych opisanych w ustawie o ochronie danych osobowych (art. 36 do 39 a), czyli np. posiadać wdrożoną Politykę Bezpieczeństwa.

Kwalifikacja umowy powierzenia z punktu widzenia przepisów prawa cywilnego:

  • jest to najczęściej umowa o świadczenie usług,
  • może mieć postać samodzielniej umowy, bądź dodatkowych postanowień do umów o świadczenie usług.

Obowiązkowe postanowienia umowy:

  • zlecenie przetwarzania danych,
  • określenie zakresu i celu powierzonych do przetwarzania danych.

Dodatkowe postanowienia umowy powierzenia:

  • uprawnienia kontrolne administratora danych,
  • kary umowne,
  • umocowanie do nadawania upoważnień do przetwarzania danych osobowych,
  • usunięcie/zwrot danych osobowych w przypadku zerwania lub ustania umowy.

Michał Geilke

1 Comment

  1. Pingback: Czy procesor musi rejestrować powierzone zbiory danych? | Ochrona Danych Osobowych

Napisz komentarz/zapytanie

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

3 × five =