Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Polecamy

Ochrona danych osobowych w działach kadr zgodnie z rodo

Ochrona danych osobowych w działach kadr zgodnie z rodo
 

Andrzej Boboli, Mateusz Borkiewicz, Agata Cisowska, Kamila Koszewicz, Grzegorz Leśniewski

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Czy potrzebne są umowy powierzenia przetwarzania?

14-09-2018 Autor: Krzysztof Wygoda

Problematyka powierzenia przetwarzania jest, jak się wydaje, jedną z budzących większe kontrowersje w praktyce stosowania rodo. Choć była już przedmiotem wielu analiz (choćby w „ABI Expert” 2017, nr 4, to temat przewodni), to praktyczne użycie instytucji powierzenia po 25 maja 2018 r. zaowocowało wieloma mitami i nadużyciami.

 

Trudno oczywiście odnieść się do wszystkich budzących wątpliwości kwestii używania art. 28 rodo, niemniej warto poruszyć kilka problemów, by wspomóc zarówno administratorów niemających pewności odnośnie do stosowania owego przepisu, jak i podmioty spotykające się z nieuzasadnionymi żądaniami podpisania umowy powierzenia w sytuacjach, w których mamy do czynienia jedynie z uprawnionym przekazaniem danych niezależnemu administratorowi.

Problem nadużywania powierzenia

Można uznać, że obecne nadużywanie powierzenia (szczególnie w ramach umów) wydaje się wynikać z wcześniejszego marginalizowania lub wręcz ignorowania tej instytucji na gruncie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: uodo z 1997 r.). Taki stan rzeczy doprowadził do sytuacji, w której po stronie administratorów brakuje zrozumienia różnic pomiędzy powierzeniem przetwarzania a przekazaniem danych opartym na przesłankach wynikających z art. 6 i 9 rodo. W pewnym zakresie jest to wynikiem braku przygotowania samych administratorów, ale nie mniej ważna jest kwestia formalnego uznawania za administratorów podmiotów, których pozycja zasługuje najwyżej na traktowanie ich jako współadministratorów. Omówienie tego problemu, jak również przypadku podmiotów nieposiadających wystarczającej samodzielności decyzyjnej, by być traktowanymi jako administratorzy danych, wymaga jednak odrębnego potraktowania.

Wprowadzenie przez art. 28 ust. 3 rodo nowej formy węzła łączącego administratora z podmiotem przetwarzającym, jakim jest inny niż umowa instrument prawny, który podlega prawu UE lub prawu państwa członkowskiego i wiąże obie strony powierzenia, dodatkowo utrudnia prawidłowe budowanie relacji administrator–podmiot przetwarzający. Dzieje się tak m.in. dlatego, że istniejące obecnie instrumenty prawne nadające się do uznania za właściwe są najczęściej dotknięte jakimiś wadami. Ujawniają się one już po pobieżnym porównaniu ich treści z wymogami rodo, które również w ich przypadku wymaga, by na poziomie podstawowym określały przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Pełna ich treść ma oczywiście obejmować te same zagadnienia, co umowa powierzenia, a więc uwzględniać wszystkie niezbędne elementy wskazane w art. 28 ust. 3 lit. a–h rodo.

Warunki te mogą być de facto spełnione, jeśli uznamy możliwość tworzenia złożonych instrumentów prawnych, z których jeden element określa warunki podstawowe (nawet w niepełnym zakresie), a kolejne dookreślają pozostałe treści.

W obecnym stanie rzeczy założenia te nie przystają do wieloletniej praktyki zbudowanej w warunkach funkcjonowania uodo z 1997 r. niedopuszczającej innej formy powierzenia niż umowna. Doprowadziła ona do wypracowania wzorca, w którym ogólna zazwyczaj norma wymuszająca ustanowienie relacji administrator danych–podmiot przetwarzający, była, niejako obligatoryjnie, uzupełniana postanowieniami umów powierzenia zawieranych pomiędzy tymi podmiotami. W okresie przejściowym, czyli od 24 maja 2016 r. do 25 maja 2018 r., można było ów stan zmienić i wydać nowe akty pozwalające funkcjonować w ramach nowej, czystej modelowo, podstawy wynikającej z założeń rodo, najczęściej tak się jednak nie stało (nic oczywiście nie stoi na przeszkodzie, by stan ów zmienić przy najbliższej okazji).

Ograniczenia instrumentu prawnego

Być może jedną z przyczyn niepodejmowania dotychczas stosownych działań było to, że modelowa konstrukcja złożonego instrumentu prawnego stosowanego zamiast umowy ma jednak poważne ograniczenie. Należy podkreślić, przyjmując za punkt wyjścia treść rodo, że wszystkie składniki instrumentu prawnego muszą wiązać zarówno administratora, jak i podmiot lub podmioty przetwarzające.

[...]
 
Autor jest doktorem prawa, pracownikiem Wydziału Prawa, Administracji i Ekonomii Uniwersytetu Wrocławskiego.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.