29 Wrz

Czy można audytować podmiot podprzetwarzający?

Dostałam pytanie od znajomego z Facebooka: Czy administrator może skontrolować podmiot podprzetwarzający, czyli ten któremu podmiot przetwarzający podpowierzył nasze (administratora) dane osobowe?

Oczywiście odpowiedź brzmi TAK, bo skoro z artykułu 28 RODO wynika że możecie audytować podmiot przetwarzający i że on musi być w stanie wykazać wam, jako administratorom, że przetwarza powierzone mu dane zgodnie z umową i przepisami o ochronie danych osobowych, tym bardziej będzie to obejmowało wszelkie podmioty podprzetwarzające. Powstaje tylko pytanie jak powinien odbyć się taki audyt? Czy powinniśmy go realizować poprzez podmiot przetwarzający, czy może zrealizować go samodzielnie? Jak najbardziej, możemy także dokonać audytu podmiotu podprzetwarzającego samodzielnie, np. składając mu wizytę w jego siedzibie. Natomiast w praktyce pewnie najczęściej będzie to realizowane poprzez podmiot przetwarzający, który np. udzieli nam odpowiednich oświadczeń, wyjaśnień, dokumentów, dowodów w sprawie w imieniu swoim, ale także podmiotu podprzetwarzajacego, aby wykazać zgodność przetwarzania z zawartą umową oraz przepisami o ochronie danych osobowych.

Cykl krótkie pytanie, szybka odpowiedź jest dostępny w formie jedno minutowych filmików na mojej stronie na Facebooku.

28 Sie

Czy z prawnikiem lub kancelarią prawną trzeba podpisać powierzenie danych w związku z obsługą prawną?

Temat umów powierzenia jest bardzo aktualny. Niektóre przypadki są bardzo proste i jednoznaczne, np. powierzenie danych do biura rachunkowego, inne wymagają dłuższego rozważania. Przyznaję, że niektóre tematy są tak skomplikowane, że nie znając biegle danych przepisów sektorowych, sama mam z nimi problemy. Jednym z bardziej skomplikowanych zagadnień jest korzystanie z obsługi prawnej.

Zgodnie z artykułem 28 RODO, jeżeli administrator danych korzysta z usług innych podmiotów, które przetwarzają dla niego dane, do powinien przed zleceniem usług, podpisać umowę powierzenia danych (lub skorzystać z innego dopuszczalnego instrumentu prawnego). W związku z tym wielu administratorów zaczęło się zastanawiać, czy jeżeli korzysta z obsługi prawnej, np. radcy prawnego lub kancelarii, to musi zawrzeć umowę powierzenia. Bardzo często kancelarie i radcy prawni odmawiają zawarcia umowy powierzenia danych na obsługę prawną. Czy słusznie? W związku z pojawiającymi się wątpliwościami, został opracowany Poradnik dla radców prawnych i adwokatów: Ogólne rozporządzenie o ochronie danych osobowych (RODO). Autorami poradnika są adw. Xawery Konarski, adw. dr Grzegorz Sibiga, r.pr. Dominika Nowak, adw. Katarzyna Syska, Iga Małobęcka – osoby znane w branży, które od lat zajmują się zagadnieniami ochrony danych.

Read More

03 Paź

Powierzenie danych według RODO

Każde przekazanie danych osobowych innemu podmiotowi musi być uzasadnione prawnie, w przeciwnym wypadku dojdzie do udostępnienia osobie nieupoważnionej, co może skutkować niebotyczną karą. Jest to także ogromne ryzyko biznesowe i wizerunkowe, dla podmiotu, który dokonał takiego udostępnienia.

Powierzenie danych – o co chodzi?

Do powierzenia dochodzi wtedy, gdy na zlecenie administratora danych, inny podmiot dokonuje operacji na danych osobowych. Podmiot, któremu dane są powierzane, nie staje się ich administratorem (chociaż ponosi odpowiedzialność tak samo, jak administrator), jedynie wykonuje operacje na danych, należących do administratora danych, w sposób i w celu ściśle przez niego określonym. Podmiot, któremu dane powierzono nie ma prawa ich wykorzystywać, do własnych celów (w szczególności dodawać ich do własnej bazy klientów/marketingowej oraz dalej udostępniać/sprzedawać). Powierzyć można dowolną czynność na danych od gromadzenia, przez edycję, przechowywanie, usunięcie.

Read More

30 Sie

Organizowanie konkursu na zlecenie klienta

Wśród firm, z którymi współpracuję jest kilka agencji reklamowych, które bardzo często przeprowadzają konkursy na zlecenie swoich klientów. Doświadczenie pokazuje, że większość tych klientów nie ma pojęcia o kwestiach formalnych takich jak powierzenie danych agencji, pozyskiwanie zgody na przetwarzanie danych, tworzenie regulaminu, czy w końcu rozliczanie podatku. A podkreślenia wymaga fakt, że odpowiedzialność za niewłaściwie (niezgodnie z przepisami prawa) przeprowadzony konkurs ciąży na organizatorze, czyli agencji. Biorąc pod uwagę konsekwencje prawne dla agencji, takie jak kary finansowe, odszkodowania tytułem naruszenia prywatności, czy utrata wizerunku marki, nie można sobie na to pozwolić.

Podstawowe problemy i zagrożenia związane z realizowaniem konkursów na zlecenie:

  1. Presja czasu (konkurs ma być „na wczoraj”)
  2. Zbieranie danych uczestników i przekazywanie klientowi bez sformalizowania współpracy w umowie powierzenia
  3. Niewłaściwe zabezpieczenie gromadzonych i przetwarzanych danych
  4. Nielegalne gromadzenie danych uczestników (brak właściwie pozyskanej zgody)
  5. Zbieranie danych uczestników do celów marketingowych pod przykrywką konkursu
  6. Źle przygotowany regulamin lub jego brak
  7. Niewypełniony obowiązek informacyjny wobec uczestnika
  8. Brak przeszkolenia pracowników agencji w zakresie procedury przeprowadzania konkursów
  9. Klient wie lepiej (to najgorsze)

Read More

12 Maj

Czy trzeba informować osobę, której dane dotyczą o powierzeniu danych?

Jeżeli administrator danych korzysta z usługi realizowanej przez innego administratora (procesora) i realizacja tej usługi wiąże się z uzyskaniem przez ten podmiot dostępu do danych ze zbiorów administratora (np. biura rachunkowego, które poprowadzi także sprawy kadrowe), mówimy o powierzeniu danych osobowych.

Zasady powierzenia reguluje art. 31 ustawy o ochronie danych osobowych, z którego wynika m.in. obowiązek zawarcia umowy powierzenia na piśmie oraz konkretnego określenia zakresu oraz uprawnień procesora. Dodatkowo administratorowi danych przysługuje prawo kontroli sposobu przetwarzania i zabezpieczenia danych przez procesora.

Czy powierzenie danych oznacza konieczność poinformowania osób, do których danych uzyskał dostęp procesor o zaistnieniu tego faktu? Obowiązek informacyjny określają art. 24 i 25 ustawy o ochronie danych osobowych. Zakres danych o jakich należy poinformować obejmuje: Read More

10 Lut

Kto jest administratorem danych – wspólnota czy zarządca?

Wspólnoty mieszkaniowe w celu realizacji zadań związanych z zarządzaniem części wspólnej nieruchomości mogą zdecydować się na wyłonienie zarządu wśród swoich członków lub powierzenie zarządu innemu podmiotowi. Zdarza się też, że zarząd wspólnoty decyduje się na podjęcie współpracy z licencjonowanym administratorem (zarządcą) nieruchomości. Niezależnie od wybranego rozwiązania, nie ulega wątpliwości, że wspólnota mieszkaniowa przetwarza dane osobowe, w szczególności dane członków wspólnoty, kontrahentów, korespondentów, dłużników. Administratorem danych osobowych, zgodnie z art. 7 ust. 4 ustawy o ochronie danych osobowych (Dz.U. 2015 poz. 2135) jest organ, jednostka organizacyjna podmiot lub osoba decydujące o celach i środkach przetwarzania danych osobowych., czyli wspólnota mieszkaniowa.

Wybór sposobu zarządzania częścią wspólną nieruchomości a określenie administratora danych

Czy powołując zarząd wspólnota ustanawia nowego administratora danych? Read More