GoldenLine
Zaloguj się
Tomasz Zoll

Tomasz Zoll Informatyk

Temat: Umowa powierzenia przetwarzania a udostępnienie danych

Witam ponownie.
Ostatnio spotkałem się z takim problemem:
Rok temu zostało zakupione do firmy oprogramowanie (licencja bezterminowa). Została podpisana z twórcą i zarazem serwisantem oprogramowania - umowa powierzenia przetwarzania danych osobowych (gdyż, jest to niezbędne w celu wywiązywania się z umowy ewentualnego serwisu itp.) Obecnie program ten został znacznie przez autora zmodyfikowany i rozbudowany o nowe moduły. Nasza firma chce zakupić ten program w nowej rozbudowanej opcji. Żeby nowy program spełniał swoją funkcję należy do niego zaimportować dane osobowe, które nie były zawarte w tej pierwotnej wersji oprogramowania, której teraz używamy. Czy w takiej sytuacji należy podpisać nową umowę powierzenia przetwarzania danych osobowych czy może wystarczy dodać aneks do tej pierwszej (która była zawarta na czas nieokreślony, z możliwością tygodniowego wypowiedzenia). I napiszcie jeszcze czy autor oprogramowania (i jednocześnie jego serwisant) powinien do nas składać wniosek o udostępnienie danych osobowych ? Czy może w sytuacji, gdy jest podpisana umowa powierzenia przetwarzania to wnioski o udostępnienie nie obowiązują ? I czy w sytuacji przekazania tych dodatkowych danych osobowych do firmy (w postaci zaszyfrowanej plyty CD), która jest autorem oprogramowania wystarczy odnotować takie udostępnienie w formie pisemnej?

Pozdrawiam :)
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Umowa powierzenia przetwarzania a udostępnienie danych

-Powierzanie to nie udostępnianie. Nie mówimy tu o wnioskach.
-Czy korzystać z umowy powierzenia? Zwykle, jeżeli prace są wykonywane „na miejscu”, prostszym rozwiązaniem jest wydanie upoważnienia.
-Umowę zapewne trzeba będzie aneksować jeżeli zmienił cel lub zakres przetwarzanych danych, albo zmieniło się coś innego, np. nazwa aplikacji :)

Przy okazji pojawia się problem zwyczaju przetwarzania przez autorów oprogramowania rzeczywistych danych w celu testowania aplikacji – czyli co najmniej naruszenie zasad celowości i poprawności...
Link do wypowiedziLink
Tomasz Zoll

Tomasz Zoll Informatyk

Temat: Umowa powierzenia przetwarzania a udostępnienie danych

Z umowy powierzenia musimy korzystać, gdyż w razie awarii - serwis zdalnie naprawia usterkę i nie przyjeżdża na miejsce. Ogólnie rzecz biorąc firma ma stały dostęp do serwera i nim tak naprawdę zdalnie administruje. W sytuacji gdy kupujemy ten sam program, tylko w nowej bardziej rozbudowanej wersji i musimy przekazać dane osobowe niezbędne do wypełnienia nowej bazy danych nowego programu (mając podpisaną umowę powierzenia przetwarzania danych na stary program) to czy musimy odnotowywać takie udostępnianie tych danych serwisowi w celu importu tych danych do baz danych ?

p.s. Piszesz, że to nie udostępnianie... Ale jak nazwać fakt, że my jako firma przekazujemy na płycie CD dane osobowe firmie zewnętrznej w celu importu ich do programu? I skoro obowiązuje umowa powierzenia przetwarzania danych osobowych to jak odnotowywać ten fakt "udostępnienia" ... Bo przecież nowe dane zostały przekazane ... I czy wogóle jest obowiązek odnotowywania tego faktu ...Tomasz Zoll edytował(a) ten post dnia 17.11.09 o godzinie 13:40
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Umowa powierzenia przetwarzania a udostępnienie danych

Rzeczywiście, ustawa nie definiuje udostępniania danych.
Z kontekstu rozumem jednak, że pytanie dotyczy wniosku o udostępnienie w rozumieniu art. 29 i z takim udostępnianiem danych tu do czynienia nie mamy.
Firma nie jest odbiorcą danych, więc nie dotyczą jej zapisy par. 7 rozporządzenia, jednak zgodnie z art. 38 ustawy, Administrator zapewnia kontrolę, komu dane są przekazywane – czyli należy fakt przekazania danych odnotować.
Link do wypowiedziLink
Kasia Sulich

Kasia Sulich

Temat: Umowa powierzenia przetwarzania a udostępnienie danych

Witam

mam następujące pytanie, jeżeli spółka zwiera umowę ze szkołą w celu wykonania usługi wyjazdu dzieci, wówczas należy podpisać umowę powierzenia czy podlega to pod udostępnienie danych? Zaznaczę, że stroną umowy oraz ADO jest szkoła i to ona przekazuje nam dane uczestników wyjazdu.

Z góry dziękuję za opinie
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Umowa powierzenia przetwarzania a udostępnienie danych

Pozyskujecie dane z innych źródeł niż osoba, której dane dotyczą, w celu wykonania umowy zawartej przez szkołę na rzecz osób trzecich (rodzice).

Art. 393. Kodeksu cywilnego
§ 1. Jeżeli w umowie zastrzeżono, że dłużnik spełni świadczenie na rzecz osoby trzeciej, osoba ta, w braku odmiennego postanowienia umowy, może żądać bezpośrednio od dłużnika spełnienia zastrzeżonego świadczenia.
§ 2. Zastrzeżenie co do obowiązku świadczenia na rzecz osoby trzeciej nie może być odwołane ani zmienione, jeżeli osoba trzecia oświadczyła którejkolwiek ze stron, że chce z zastrzeżenia skorzystać.
§ 3. Dłużnik może podnieść zarzuty z umowy także przeciwko osobie trzeciej.

Ewidentnie macie własne cele przetwarzania, więc jesteście administratorem danych. Po waszej stronie m. in. dopełnienie obowiązku informacyjnego (art. 14 RODO). Należy wykonać ten obowiązek wstecz, cofając się co najmniej do 25 maja 2018 r.
Link do wypowiedziLink
Kasia Sulich

Kasia Sulich

Temat: Umowa powierzenia przetwarzania a udostępnienie danych

Oczywiście obowiązek informacyjny spełniliśmy przed 25 maja.
Odnosząc się do powyższej odpowiedz: "Ewidentnie macie własne cele przetwarzania"
szkoła jak i spółka ma jeden cel przetwarzania wykonanie usługi na którą została podpisana umowa sprzedaży - żadnych innych celów nie przewiduje spółka.

Szkoła powierza nam dane uczestników, dlatego podpisywaliśmy umowy powierzenia czy jest to błędne rozwiązania?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Umowa powierzenia przetwarzania a udostępnienie danych

Kasia S.:
Oczywiście obowiązek informacyjny spełniliśmy przed 25 maja.
Zwróćcie uwagę na dane, które pozyskiwaliście po 25 maja, np. przy nowych wycieczkach.
szkoła jak i spółka ma jeden cel przetwarzania wykonanie usługi na którą została podpisana umowa sprzedaży
Szkoła ma więcej celów, przede wszystkim jest to realizacja zadań ustawowych, a nie wykonywanie umowy.

Co do Spółki: celem przetwarzania danych jest wykonanie usługi na rzecz uczestników wycieczki i obsługa ew. roszczeń z ich strony. To nie jest cel szkoły, więc Spółka jest odrębnym ADO.
Szkoła powierza nam dane uczestników
Nie, nie i jeszcze raz nie. Macie duże ryzyka po stronie Spółki, nie umiejąc prawidłowo określić sytuacji, gdy to Spółka jest administratorem danych (to nie krytyka, lecz wskazówka - potrzebujecie profesjonalnej pomocy; najpewniej wasz RCPD zrobiony jest źle).Ten post został edytowany przez Autora dnia 25.09.18 o godzinie 16:23
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Umowa powierzenia przetwarz...




Wyślij zaproszenie do
Anuluj