Umowa powierzenia danych musi być osobną umową?

photo_2030_20061012Żeby móc przekazać dane innemu podmiotowi do dalszego przetwarzania konieczna jest implementacja zapisów art. 31 UODOD, a więc zapisów o powierzenie danych osobowych lub przepis rangi Ustawy mówiący o udostępnieniu danych osobowych.

Temat ten już był szeroko poruszany na naszym Blogu, o czym można przeczytać między innymi w tym poście: LINK.

Wracam do tematu z prostego powodu, jakim jest poniższy cytat:

„Byłam na szkoleniu w końcu ubiegłego roku i prowadzący przekazał informację, że wg wytycznych GIODO umowa powierzenia musi być odrębna od umowy „podstawowej”. „

Jest to moim zdaniem nieprawda.

Artykuł który wskazuje możliwość powierzenia brzmi następująco:

„Art. 31. 1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na
piśmie, przetwarzanie danych.”

Nie ma w nim żadnej mowy/wykładni na temat Osobnej umowy, Osobnym dokumencie czy innego 100% zapisu narzucającego osobną umowy tylko świadczącą o powierzeniu. Oczywiście, można sobie przyjąć taką konstrukcje – umowa o np. świadczenie usługi i do niej osobna umowa powierzenia, ale nie ma takiej konieczności.

Tym bardzie powoływanie się na „WYTYCZNE GIODO”… ja osobiście takich nie znam i nie znalazłem, więc jeśli się mylę i ktoś z Czytających zna takie wytyczne (źródło GIODO) proszę o sprostowanie mojej wypowiedzi. Natomiast przytoczę w tej sytuacji fragment decyzji administracyjnej GIODO z 2014 r., która potwierdza moją interpretacje:

DOLiS/DEC-692/14/56443,56444:

„W ocenie Generalnego Inspektora zarówno – umowa agencyjna zawarta pomiędzy E. S.A. a Spółką, jak również umowa pomiędzy P. Sp. z o.o. a Spółką – wypełnia przesłanki umowy powierzenia, o której mowa w art. 31 ustawy o ochronie danych osobowych zarówno z uwagi na jej formę (pisemna), treść (określenie celu, dla realizacji którego będą przetwarzane powierzone dane, tj. zawieranie w imieniu i na rzecz Spółki umów o świadczenie usług telekomunikacyjnych), jak też zakres (wskazanie zakresu danych, jakie zostają powierzone Spółce w związku z zawieraniem umów o świadczenie usług telekomunikacyjnych). Jednocześnie w treści umów określone było upoważnienie do dalszego powierzania danych innym podmiotom biorącym udział w realizacji umowy (podpowierzenie).”

Z poważaniem,

Michał Geilke

10 Comments

  1. Dan

    Witam. Powyższa sprawa dla mnie jest jasna. Ale co w przypadku, jeżeli obsługę BHB prowadzi jednoosobowa firma zewnętrzna na umowę zlecenie. Wystarczy w takim przypadku upoważnienie tej osoby? Podpisanie umowy powierzenia lub wprowadzenie zapisów do umowy zlecenia z automatu wymusi wprowadzenie polityki bezpieczeństwa w firmie, która nikogo nie zatrudnia. No i czy dobrze rozumuję – jeżeli ta osoba nie przetwarza danych u siebie w siedzibie firmy tylko przyjeżdża, wystarczy upoważnienie, a jeżeli prowadzi u siebie dokumentację, to wymagane jest powierzenie i musimy nadzorować czy robi to zgodnie z przepisami itp?

    Reply
    1. Michał (Post author)

      Dzień dobry,

      moim zdaniem każda forma wymiany danych między przedsiębiorstwami/przedsiębiorcami powinna być dokonana na podstawi umowy która zawiera zapisy o powierzeniu- również w przypadku jednoosobowych działalności gospodarczych.

      Gdzie prowadzi prace jest drugorzędną sprawą.

      Pozdrawiam,

      Michał Geilke

      Reply
      1. Informatyk

        No dobrze, czyli jeżeli na sprzęcie klienta wykonuję usługi informatyczne, takie jak wykonywanie kopii bezpieczeństwa, naprawa danych, administrowanie uprawnieniami w systemie itp. to te dane są mi powierzane do przetwarzania?

        Czy wtedy muszę zawrzeć w Swojej polityce bezpieczeństwa wszystkie zbiory mojego klienta?

        gdybym to robił na Umowę O Pracę, wystarczyłoby Upoważnienie, a tak ma być Powierzenie? Czyli, skoro jestem jednoosobowy i nie mogę zgłosić ABI, to muszę w dodatku nie tylko mieć zbiory klienta w swojej polityce opisane, to jeszcze zgłaszać je do GIODO?

        Trochę to podejście jest dziwne i zamotane. Ja nie mogę przecież odpowiadać za te zbiory. Nie znam ich struktury, nie ja pozyskuję do nich dane, więc nie wiem czy są pozyskiwane właściwie. Nie ja wyprowadzam z nich dane dalej.

        Reply
        1. Michał (Post author)

          Dzień dobry,

          Wyjdźmy od definicji przetwarzania – Art. 7 pkt. 2 UODO -„… przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;”.

          Wykonując prace na rzecz innego ADO przetwarza Pan jego dane osobowe (wynika to z przedstawionego przez Pana opisu). W umowie z Panem muszą być odpowiednie zapisy powierzenia danych lub z umowy musi wynikać ZAKRES i CEL przetwarzania.

          Wykaz zbiorów danych musi prowadzić ADO, Pan tylko przetwarza dane z jego zbiorów, a więc nie musi ich pan uwzględniać w swojej Polityce Bezpieczeństwa- więcej na ten temat w starszym poście http://odo.com.pl/czy-procesor-musi-rejestrowac-powierzone-zbiory-danych/

          Dodatkowo wspomina Pan że „skoro jestem jednoosobowy i nie mogę zgłosić ABI”- otóż może Pan wyznaczyć ABi w swojej jednoosobowej firmie, tylko pytanie czy jest Panu potrzebny.

          Pozdrawiam,

          Reply
  2. Anna

    Dzień dobry proszę o informację czy należy w GIODO rejestrować umowy powierzenia danych osobowych.

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Umowy powierzenia danych raczej na pewno nie stanowią zbioru danych osobowych, a więc również nie podlegają pod obowiązek rejestracji do GIODO.

      Umowy będą częścią jakiegoś zbioru, najprawdopodobniej – Zbiór danych Kontrahentów.

      Pozdrawiam,

      Z poważaniem,
      Michał Geilke

      Reply
  3. Olek

    Witam,
    a co w przypadku, kiedy jedni właściciele posiadają kilka spółek z o.o. Wszystkie mają ten sam adres, fizycznie jedną księgowość i kadry, kilka osób w księgowości jest zatrudnionych w kilku spółkach jednocześnie, jednak samo przetwarzanie odbywa się dla wszystkich na jednym sprzęcie, wspólnych serwerach, sieci i systemach – w większości należących do „głównej” spółki. W takiej sytuacji spółki „korzystające” powierzają spółce „głównej” swoje dane i powinny zawrzeć umowę powierzenia, czy tak?
    Pozdrawiam.

    Reply
    1. Michał (Post author)

      Dzień dobry,

      jeśli spółki powiązane korzystają z personelu oraz sprzętu, serwerów, sieci spółki „matki” potrzebne są umowy powierzenia.

      Pozdrawiam,

      Reply
  4. Sławomir

    Allegro ; jestem sprzedającym na allegro , allegro wysyła mi dane kupujących a ja wysyłam towar do tych osób . w związku z tym nie mam żadnej bazy danych tylko tyle co wystawię FV i za pomocą SENDIT zamówię kuriera – dane są przesyłane automatycznie z ALLEGRO DO SENDIT pytanie brzmi czy ja mam zgłaszać jakąś bazę danych ? czy ja jestem administratorem danych ? czy ja mam podpisać umowę z sendit ODPOWIERZANIA danych ? czy ja mam podpisać umowę na piśmie z ALLEGRO które mi odpwierza dane ((a z allegro odpisali mi ze oni nic nie dopisują i zobowiązująca jest ich polityka prywatności którą każdy akceptuje przy korzystaniu z serwisu i tak samo sendit)) . czyli tak de fakto ja nic nie mam na PIŚMIE od allegro ze mogę przetwarzać dane klientów a ustawa RODO mnie zobowiązujące mieć umowę z klientem do którego mam wysłać paczkę. poza tym 1 klient na miesiąc wysyła mi zamówienie mailem w związku z tym muszę mieć umowę z nim podpisaną na przetwarzanie jego danych ? dostaje maila treści ((proszę mi wysłać 10 sztuk towaru na adres xx xx x xx xxx))) i ja mam mu odpisać maila ze nie wyśle towaru dopóki on się nie zgodzi na to ze ja mogę jego dane przetwarzać i to na piśmie czy jak ? On mojego maila ma z allegro ja nie mam żadnej strony internetowej związanej z sprzedażą. czekam na jakieś wskazówki

    Reply
    1. Michał Geilke (Post author)

      Dzień dobry,

      czy ja mam zgłaszać jakąś bazę danych ? Od 25 maja nie ma w ogóle tego obowiązku.
      czy ja jestem administratorem danych ? Tak, jak najbardziej TAK.
      czy ja mam podpisać umowę z sendit ODPOWIERZANIA danych ? To zależy. Czasami jest dwóch ADO.
      czy ja mam podpisać umowę na piśmie z ALLEGRO które mi odpwierza dane: Pana firma jest ADO danych swoich klientów.

      Pozdrawiam,

      Reply

Napisz komentarz/zapytanie

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

9 + two =