Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Praktyczne aspekty umownego powierzenia danych

05-12-2017 Autor: Jan Byrski

Powierzenie danych osobowych stanowi instytucję opartą na założeniu przetwarzania danych osobowych przez podmiot przetwarzający w imieniu administratora danych, który decyduje o celach i sposobach przetwarzania danych. Przyjrzyjmy się praktycznym aspektom instytucji powierzenia danych osobowych.

 

Istotność przedmiotowej instytucji jest dostrzegalna już od dłuższego czasu. Jej prawidłowe uregulowanie za pomocą umowy determinuje nie tylko bezpośrednie prawa i obowiązki stron umowy, ale także ich ewentualną odpowiedzialność na wypadek zaistniałego naruszenia zasad przetwarzania danych osobowych.

Zakres podmiotowy umowy powierzenia danych osobowych

Stronami umowy powierzenia przetwarzania danych osobowych są administrator oraz podmiot przetwarzający. W praktyce możliwe jest także wystąpienie współadministratorów, czyli dwóch lub więcej administratorów, którzy wspólnie ustalają (decydują) o celach i sposobach przetwarzania danych osobowych, a ponadto poprzez wspólne uzgodnienia powinni określić odpowiednie zakresy swojej odpowiedzialności za ewentualne naruszenia zasad przetwarzania danych. Ich swoista koincydencja jest podyktowana możliwością zawierania przez nich umów powierzenia samodzielnie lub wspólnie, w zakresie określonych wcześniej uzgodnień pomiędzy nimi, dotyczących celów i sposobów przetwarzania danych osobowych. Niewykluczone jest także, w ramach wspólnych uzgodnień, wyłączenie możliwości powierzenia przetwarzania danych w przypadku funkcjonowania dwóch lub więcej współadministratorów1.

Z kolei drugą stroną umowy jest podmiot przetwarzający, którego zadaniem jest przetwarzanie danych osobowych w imieniu administratora. Z uwagi na charakter wykonywanych czynności podmiot przetwarzający jest zobowiązany zapewnić wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wszelkie wymogi wynikające z rodo. Dodatkowo podmiot ten powinien cechować się fachowością, wiarygodnością oraz posiadać odpowiednie zasoby (techniczne i organizacyjne), pozwalające mu na przetwarzanie danych osobowych zgodnie z zawieraną umową powierzenia (zob. art. 28 ust. 1 w zw. z motywem 81 rodo). Spełnienie tych wymogów podmiot przetwarzający może wykazać poprzez stosowanie zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji.

Z uwagi na przedmiot umowy zawieranej pomiędzy administratorem i podmiotem przetwarzającym oraz profesjonalny charakter przedmiotowej czynności prawnej po stronie podmiotu przetwarzającego (w myśl art. 28 ust. 1 rodo) możliwe jest „korzystanie z usług wyłącznie takich podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych”. Wydaje się, że statusu podmiotu przetwarzającego2 nie powinno się przypisywać osobie fizycznej, która nie prowadzi działalności gospodarczej, a w konsekwencji nie występuje w obrocie prawnym jako profesjonalista3.

Zakres przedmiotowy umowy powierzenia danych osobowych

Szczegółowe wymagania dotyczące zakresu przedmiotowego umowy powierzenia zostały określone w art. 28 rodo. Zgodnie z brzmieniem tego przepisu umowa ta powinna określać:

  • przedmiot i czas przetwarzania;
  • charakter i cel przetwarzania;
  • rodzaj danych osobowych;
  • kategorie osób, których dane dotyczą;
  • obowiązki i prawa administratora (administratorów)4.

Przedmiot i  czas przetwarzania

Przez przedmiot przetwarzania rozumie się opisanie samego przedmiotu umowy zawieranej pomiędzy administratorem i podmiotem przetwarzającym. Strony decydują bowiem, czy operacje na danych osobowych objęte daną umową stanowią samoistną całość, czy też stanowią uzupełnienie innych świadczeń umownych. Poprzez określenie przedmiotu przetwarzania możliwe jest także odniesienie się do zakresu terytorialnego wykonywanych operacji na danych osobowych.

Kolejnym kluczowym elementem umowy jest określenie czasu przetwarzania danych, przy czym należy przyjąć, że czas ten może mieć charakter zarówno oznaczony, jak i nieoznaczony. Również umowa może obejmować jedynie czynność jednorazową, niepowtarzalną.

Charakter i  cel przetwarzania

Charakter przetwarzania może być z kolei rozumiany dwojako. Po pierwsze, możliwa jest wykładnia skłaniająca ku interpretacji, że „charakter przetwarzania” dotyczy przetwarzania danych osobowych przez podmiot przetwarzający, który ma bezpośredni kontakt z podmiotem, którego dane są przetwarzane (albo też takiego kontaktu nie ma w ogóle). Możliwość takiej interpretacji wynika z art. 28 ust. 3 lit. e i f rodo, poprzez nakładanie na podmiot przetwarzający obowiązku pomocy administratorowi w wywiązaniu się z obowiązków określonych w rozdziale III oraz art. 32–36 rodo.

[...]

Autor jest adwokatem, wspólnikiem w Traple Konarski Podrecki i Wspólnicy, adiunktem w Katedrze Prawa Cywilnego i Gospodarczego, Wydziału Finansów i Prawa Uniwersytetu Ekonomicznego w Krakowie.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

______________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.