GoldenLine
Zaloguj się
Marlena Kasprzyk

Marlena Kasprzyk Inspektor ochrony
danych, XYZ

Temat: Umowa powierzenia z IOD

Proszę powiedzcie jakie macie zdanie. Czy podpisywać umowę powierzenia z IOD, którym jest firma (osoba) zewnętrzna?
Link do wypowiedziLink
Materusz P.

Materusz P.

Temat: Umowa powierzenia z IOD

Jeśli podpisze, to .... zmienić natychmiast IODo.
Link do wypowiedziLink
Marlena Kasprzyk

Marlena Kasprzyk Inspektor ochrony
danych, XYZ

Temat: Umowa powierzenia z IOD

Proszę rozwiń swoja myśl?
Link do wypowiedziLink
Materusz P.

Materusz P.

Temat: Umowa powierzenia z IOD

Obowiązkiem IODo jest m.in. monitorowanie przestrzegania rodo oraz polityk administratora w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty; (39.1.b.) Obowiązkiem ADO jest wspieranie IODo w wypełnianiu przez niego zadań, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej. (38.2.) To oznacza, że dostęp do danych osobowych ma z mocy prawa.

Uzależnienie dostępu do danych osobowych od podpisania umowy powierzenia jest w tym przypadku ograniczaniem przez ADO ustawowych (rozporządzeniowych) kompetencji IODo.

Jeśli kandydat na IODo podpisuje umowę powierzenia, przyznaje, że nie do końca zna rodo, a to jest sprzeczne z 37.5.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Umowa powierzenia z IOD

Materusz P.:
To oznacza, że dostęp do danych osobowych ma z mocy prawa.
Dostęp w siedzibie ADO, czy w siedzibie własnej firmy? Na urządzeniach ADO, czy na urządzeniach własnej firmy? Jeśli zatrudnia pracowników, którzy mu pomagają, to gdzie jest źródło ich uprawnień do przetwarzania danych ADO?
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: Umowa powierzenia z IOD

Moment, moment.
Najpierw musi być podstawa prawna umożliwiająca "zatrudnienie" IOD.
Skoro będzie to zewnętrzny podmiot (a nie umowa zlecenie) to zapewne będzie umowa na świadczenie usług, a do niej powierzenie przetwarzania, której legalizuje świadczenie takiej usługi w relacji firma-firma.
To, że NASTĘPNIE wyznaczony człowiek będzie przetwarzał dane jako IOD nie zmienia sytuacji. IOD jako osoba ma prawo, ale firma, która go zatrudnia uzyskuje to uprawnienie na podstawie powierzenia.

"Uzależnienie dostępu do danych osobowych od podpisania umowy powierzenia jest w tym przypadku ograniczaniem przez ADO ustawowych (rozporządzeniowych) kompetencji IODo.".

??? Moim zdaniem jest na odwrót. Najpierw następuje podpisanie umowy powierzenia pomiędzy firmami co umożliwia powołanie człowieka na IOD. Dopiero wtedy uzyskuje on kompetencje IOD i fakt uprzedniego zawarcia umowy powierzenia w żaden sposób nie ogranicza jego kompetencji.

Przy jednoosobowej działalności można jeszcze się zastanawiać czy jest konieczność zawierania umowy powierzenia, ale na początek warto sobie odpowiedzieć na pytania, które zadał w poprzednim poście Paweł.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Umowa powierzenia z IOD

Z umowami powierzenia mam od lat problem i zgryz. Bo o ile rzeczywiście coś jest powierzone, tj. jak tutaj IOD jest przedstawicielem innej firmy, pracuje na własnych narzędziach (komputer, aplikacje, telefon, etc) to nie mam wątpliwości. Administrator nie ma żadnej mocy bezpośredniej dotyczącej sposobów zabezpieczenia danych na tych urządzeniach, więc umowa być musi, bo ktoś za to przecież musi odpowiadać. Brak takiej umowy oznacza, że dane co najmniej na tych urządzeniach nie są nadzorowane.

Natomiast co do nieco innego układu, z którym się spotkałem wielokrotnie. Pracownicy pracują w całości na sprzęcie admina, w siedzibie admina, nie wynoszą danych. Jedyne co to mają własny (formowy) tel. I czy tutaj naprawdę jest umowa powierzenia? Prawie leasing pracowniczy.

Jaki nadzór nad środkami ma procesor? Bo moim zdaniem żaden. Nic nie określa, nawet naruszenia raportowane są niejako w strukutrze wewnętrznej.
Link do wypowiedziLink
Materusz P.

Materusz P.

Temat: Umowa powierzenia z IOD

Marek P.:
Moment, moment.
Najpierw musi być podstawa prawna umożliwiająca "zatrudnienie" IOD.
Skoro będzie to zewnętrzny podmiot (a nie umowa zlecenie) to zapewne będzie umowa na świadczenie usług, a do niej powierzenie przetwarzania, której legalizuje świadczenie takiej usługi w relacji firma-firma.
To, że NASTĘPNIE wyznaczony człowiek będzie przetwarzał dane jako IOD nie zmienia sytuacji. IOD jako osoba ma prawo, ale firma, która go zatrudnia uzyskuje to uprawnienie na podstawie powierzenia.

"Uzależnienie dostępu do danych osobowych od podpisania umowy powierzenia jest w tym przypadku ograniczaniem przez ADO ustawowych (rozporządzeniowych) kompetencji IODo.".

??? Moim zdaniem jest na odwrót. Najpierw następuje podpisanie umowy powierzenia pomiędzy firmami co umożliwia powołanie człowieka na IOD.
Funkcję IOD może pełnić podmiot (po spełnieniu określonych warunków przez każdego z członków tego podmiotu) inny niż osoba fizyczna.
Dopiero wtedy uzyskuje on kompetencje IOD i fakt uprzedniego zawarcia umowy powierzenia w żaden sposób nie ogranicza jego kompetencji.
Błędnym jest regulowanie w treści umowy obowiązków wynikających wprost z przepisu prawa - rodo. Błąd taki występuje na co najmniej dwa sposoby:
1- każda treść umowy może być zmieniona aneksem, a to oznacza możliwość zmiany przepisu prawa w sposób nieuprawniony.
2 - treść przepisu prawa (który został przepisany do umowy) może zostać zmieniona, co w przypadku automatycznego brak zmiany umowy, skutkuje niezgodnością treści umowy z prawem.

ps.
GR 29 w wytycznych dot. IOD, w żadnym momencie nie wskazuje na obowiązek zawarcia umowy powierzenia, a jedynie o świadczenie usług IOD.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Umowa powierzenia z IOD

Materusz P.:
Funkcję IOD może pełnić podmiot (po spełnieniu określonych warunków przez każdego z członków tego podmiotu) inny niż osoba fizyczna.
Nieprawda.
Link do wypowiedziLink
Przemysław Dorszewski

Przemysław Dorszewski

Temat: Umowa powierzenia z IOD

Przyszedł czas, żeby odgrzebać ten wątek. Minął prawie rok, jestem ciekaw waszych opinii do następującej sytuacji. Osoby formalnie zatrudnione w urzędzie tworzą quasi "zespół inspektorów" przeznaczonych/dedykowanych do obsługi szkół i przedszkoli na terenie gminy jako IOD (oficjalnie zgłoszone przez dyrektorów szkół do UODO jako ich IOD - jedna osoba jest IOD w kilku szkołach).
Czy dyrektor szkoły powinien zawrzeć umowę powierzenia z osobą, którą zgłosił u siebie jako IOD? Jakie są waszym zdaniem argumenty za powierzeniem, a jakie przeciw?
Link do wypowiedziLink
Jakub B.

Jakub B. IOD (DPO)

Temat: Umowa powierzenia z IOD

Można wnioskować, że CUW działa na podstawie miejscowego przepisu prawa i obsługa (wskazanie do wyznaczenia) IOD dla podległych placówek jest statutowa.
W moim przekonaniu, umowa powierzenia z IOD zachodzi, jeśli będzie on (IOD) świadczył usługę dla CUW np. na własnej działalności.
Ostatecznie jednak bym nie przesądzał, bo to zależy od konstrukcji współpracy CUW z obsługiwanymi placówkami itp.Ten post został edytowany przez Autora dnia 07.06.19 o godzinie 14:08
Link do wypowiedziLink
Przemysław Dorszewski

Przemysław Dorszewski

Temat: Umowa powierzenia z IOD

Ci inspektorzy są zatrudnieni w jednym z wydziałów urzędu. Nie są żadnym Centrum Usług Wspólnych, stosunek pracy łączy ich z urzędem, nie prowadzą żadnej działalności gospodarczej, a są zgłaszani przez dyrektorów szkół do UODO jako IOD.
Link do wypowiedziLink
Jakub B.

Jakub B. IOD (DPO)

Temat: Umowa powierzenia z IOD

Na jakiej podstawie zatem jest zapewniana wspólna obsługa placówek w zakresie świadczenia usługi IOD?
Link do wypowiedziLink
Materusz P.

Materusz P.

Temat: Umowa powierzenia z IOD

Przemysław D.:
Czy dyrektor szkoły powinien zawrzeć umowę powierzenia z osobą, którą zgłosił u siebie jako IOD? Jakie są waszym zdaniem argumenty za powierzeniem, a jakie przeciw?
Przepisy rodo jednoznacznie przesądzają, że zawieracie umowy powierzenia z IODą będzie złamaniem rozporządzenia.
Link do wypowiedziLink
Przemysław Dorszewski

Przemysław Dorszewski

Temat: Umowa powierzenia z IOD

Jakub B.:
Na jakiej podstawie zatem jest zapewniana wspólna obsługa placówek w zakresie świadczenia usługi IOD?

Organem prowadzącym szkoły jest gmina, gmina w ramach swojej struktury ma wydział edukacji, który odpowiedzialny jest za edukację i szkolnictwo w gminie, tak jest to rozwiązane w prawie wszystkich większych jednostkach samorządu terytorialnego. Dwóch pracowników wydziału jest przeznaczonych do wsparcia szkół w zakresie ochrony danych i dyrektorzy szkół zgłaszają jedną z tych osób jako swojego IOD do UODO. I tak np. pracownik wydziału edukacji nr 1 jest IOD w szkole nr 1,2,3, zaś pracownik wydziału edukacji nr 2 jest IOD w szkole nr 4,5,6. Szkołę nie łączy z pracownikiem wydziału żadna umowa o pracę czy cywilno-prawna, czytaj jest człowiekiem "spoza szkoły".

Poruszam temat, bo w necie krąży pełno opinii/interpretacji, które moim zdaniem wprowadzają w błąd. Kilka przykładów
https://www.poradyodo.pl/rodo/zewnetrzny-inspektor-ochr...
https://www.poradyodo.pl/porady-ekspertow/z-iod-spoza-f...
https://gdpr.pl/czy-inspektor-ochrony-danych-osobowych-...

@Mateusz Piątek, zgadzam się w całej rozciągłości z tobą i z twoimi argumentami w tym wątku. IOD nie może wykonywać swojej funkcji na podstawie powierzenia, wynika to z wykładni przepisów nt. IOD oraz z tego, że powierzenie będzie rodzić sprzeczności nie do pogodzenia.
Link do wypowiedziLink
Materusz P.

Materusz P.

Temat: Umowa powierzenia z IOD

Przemysław D.:
Poruszam temat, bo w necie krąży pełno opinii/interpretacji, które moim zdaniem wprowadzają w błąd. Kilka przykładów....
Ręce opadają, tak że można na stojąco drapać się po kostkach. Jak tak można czytać wybiórczo przepisy !?
art. 29, na który się powołują dotyczy osób przetwarzających do z upoważnienia i na polecenie ADO. JODa, po pierwsze - przetwarza dane z mocy rodo, po drugie - ma zakaz otrzymywania poleceń od ADO, po trzecie - umowa powierzenia dotyczy tylko podmiotów przetwarzających (JODa takowym nie może być z przepisu rodo) wreszcie po czwarte - umowa powierzenia musi zawierać składniki zapisane w art. 28.3.a-h, których JODa nie może spełnić.
Link do wypowiedziLink
Przemysław Dorszewski

Przemysław Dorszewski

Temat: Umowa powierzenia z IOD

Zobacz, że te artykuły nie piszą ludzie z przypadku, tylko prawnicy, którzy opisywani są jako eksperci od ochrony danych osobowych, działający od kilku lat, czyli jeszcze za panowania UODO z 1997 r. , z setką artykułów na portalach branżowych dot. ochrony danych.
Link do wypowiedziLink
Materusz P.

Materusz P.

Temat: Umowa powierzenia z IOD

Należy pamiętać, że odpowiedzialność spoczywa na stosującym prawo (ADO i JODa). Nawet w PUODO specjaliści mają rozbieżne, albo nie do końca sprecyzowane zdania w wielu sprawach.

Dlatego warto kierować się zasadą: wszystkie treści nie pochodzące od legalnej wykładni rodo (ciekawe ile osób wie o jakim podmiocie mowa), są jedynie wskazówką do własnych poszukiwań.

ps.
Przez wiele lat wielkie autorytety świata nauki rozpisywały się nad szpinakiem jako źródłem niewyobrażalnej zawartości żelaza. Szaleństwo trwało wiele lat. Do czasu aż ktoś nie powtórzył badania i obstawał przy swoim, że wyniki są o rząd wielkości mniejsze niż do tej pory podawano. I miał rację.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj