Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Łańcuch poddostawców w outsourcingu usług

26-02-2018 Autor: Anna Matusiak-Wekiera

Rozwój nowych technologii oraz ciągły postęp wiedzy sprawiają, że administratorzy w poszukiwaniu specjalistycznych rozwiązań częściej powierzają wykonywanie poszczególnych lub wszystkich czynności przetwarzania danych innym podmiotom.

 

Outsourcing usług jest szczególnie popularny przy realizacji działań marketingowych (np. organizacja konkursów, wysyłka materiałów reklamowych) oraz w obszarze IT (hosting, usługi chmurowe, serwis), cieszy się również popularnością w innych obszarach, jak np. kadry, rachunkowość, finanse. Nierzadko powierzenie danych związane z outsourcingiem usługi nie ogranicza się do jednego podmiotu przetwarzającego na zlecenie administratora danych, ale jest realizowane przez kilku dostawców usług tworzących łańcuszek podwykonawców.

Skorzystanie z  innego podmiotu przetwarzającego

Dotychczasowe przepisy dotyczące powierzenia danych osobowych (art. 31 uodo) nie określały wymogów prawnych dla dalszego powierzenia w łańcuchu poddostawców. W przeciwieństwie do uodo, w rodo wprost zostały określone warunki prawne, których spełnienie jest konieczne, aby przetwarzający mógł skorzystać z pomocy innego podmiotu przetwarzającego. Prawodawca unijny w art. 28 ust. 2 rodo dopuszcza korzystanie przez podmiot przetwarzający z usług podwykonawcy pod warunkiem posiadania uprzedniej, pisemnej, szczegółowej lub ogólnej zgody administratora danych na skorzystanie z pomocy podwykonawcy. Dodatkowo w przypadku ogólnej pisemnej zgody podmiot przetwarzający zobowiązany jest do informowania administratora danych o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podwykonawców i umożliwiając mu wyrażenie sprzeciwu wobec takich zmian. Zatem kluczowym zagadnieniem dalszego powierzenia z punktu widzenia istnienia podstaw prawnych przetwarzania danych osobowych jest posiadanie przez pierwotnego przetwarzającego zgody administratora danych, odpowiadającej wymogom rodo.

Zgoda administratora danych

Prawodawca unijny w art. 28 ust. 3 lit. d rodo podkreśla, że umowa powierzenia lub inny instrument prawny określają, że podmiot przetwarzający przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w art. 28 ust. 2 i 4 rodo. Oznacza to, że umowa lub inny instrument prawny zobowiązują podmiot przetwarzający do przestrzegania warunków skorzystania z usług innego podmiotu przetwarzającego, a zatem do uzyskania m.in. uprzedniej, pisemnej, szczegółowej bądź ogólnej zgody1. Zgoda administratora danych może być zatem wyrażona bezpośrednio w umowie lub innym instrumencie prawnym albo w odrębnym oświadczeniu administratora, pod warunkiem że oświadczenie takie poprzedza dalsze powierzenie.

Wzór 1

Podmiot przetwarzający nie jest uprawniony do skorzystania z usług innego podmiotu przetwarzającego przy przetwarzaniu powierzonych danych osobowych klientów na podstawie niniejszej umowy bez szczegółowej zgody wyrażonej uprzednio w formie pisemnej przez administratora.

 

[...]

 

Autorka jest radcą prawnym, członkiem Komisji Ekspertów ds. reformy prawa ochrony danych osobowych w UE powołanej przy GIODO.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.