Bronisław Kowalski

Bronisław Kowalski Niezależny
konsultant biznesu

Temat: Upoważnienie przez ADO? Powierzenie?

W firmie jest kilka aplikacji, w których przetwarzane są dane osobowe.
Aplikacje te są serwisowane przez zewnętrzne podmioty. Zawarte umowy serwisowe nie spełniają wymogów umowy powierzenia.
Rozważane są opcje że ADO upoważnia pojedynczych pracowników firm serwisujących, tyle że to może okazać się upierdliwe, bo jest wielu serwisantów.

Druga opcja podpisanie dodatkowo umów powierzenia ze scedowaniem wydawania upoważnień na procesora. Tylko czy tak można? UODO mówi, że to ADO upoważnia.

Pozdrawiam,
Bronisław
Karol Franus

Karol Franus Administrator
Bezpieczeństwa
Informacji

Temat: Upoważnienie przez ADO? Powierzenie?

Art. 31.3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36–39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.

Skoro procesor ma spełnić wymagania art. 36-39a, to również obowiązek nadania upoważnień swoim pracownikom, do zbioru który mu powierzono.
Bronisław Kowalski

Bronisław Kowalski Niezależny
konsultant biznesu

Temat: Upoważnienie przez ADO? Powierzenie?

Karol F.:
Skoro procesor ma spełnić wymagania art. 36-39a, to również obowiązek nadania upoważnień swoim pracownikom, do zbioru który mu powierzono.

Rozumiem. Ale ADO również ma ten obowiązek. Jeśli traktować przepisy dosłownie, to pracownik procesora powinien być upoważniany i przez procesora i przez ADO?
Karol Franus

Karol Franus Administrator
Bezpieczeństwa
Informacji

Temat: Upoważnienie przez ADO? Powierzenie?

ADO upoważnia swoich, procesor swoich. Wszystko regulujemy umową powierzenia.

konto usunięte

Temat: Upoważnienie przez ADO? Powierzenie?

Są umowy powierzenia gdzie w załączniku jest napisane z imienia i nazwiska kto został upoważniony, a są takie gdzie poprostu pisze się, że Przetwarzający/Procesor upoważni osoby do przetwarzania danych osobowych zgodnie z przepisami etc.

W Waszym przypadku radziłabym zrobić do umowy serwisowej aneks i dopisać klauzulę związaną z ochroną danych osobowych, w tym poufność. Tam będzie wynikało, że powierzone zostają do obsługi procesy serwisowe (umowa serwisowa zakładam, że opisuje z grubsza te procesy) i w związku z tym naturalnie wyjdzie także zakres i cel przetwarzania danych. Tam, można wpisać - o ile uznamy, że zachodzi taka potrzeba - kto jest upoważniony do obsługi procesów/pracy na danych. Jednak nie trzeba tego robić w większości przypadków.

Jak coś to pisz na priv.
Bronisław Kowalski

Bronisław Kowalski Niezależny
konsultant biznesu

Temat: Upoważnienie przez ADO? Powierzenie?

Dziękuję Państwu za odpowiedzi.
Temat jest dla mnie jasny.
Krzysztof Kranc

Krzysztof Kranc OCHRONA DANYCH I
DORADZTWO
GOSPODARCZE

Temat: Upoważnienie przez ADO? Powierzenie?

Umowa powierzenia dla firmy serwisującej to jedynie słuszne rozwiązanie, choć wspomniane na początku wątku upoważnienie konkretnych pracowników firmy serwisującej i ich praca pod nadzorem pracownika firmy na rzecz której usługa jest wykonywana tez jest możliwe i zgodne z prawem. Ale ... jest najważniejsze: czy firma serwisowa podpisze umowę powierzenia i przez to zobliguje się do posiadania dokumentacji przetwarzania danych osobowych i spełniania wszystkich innych warunków określonych w ustawie odo? I jeszcze kwestia odpowiedzialności firmy powierzającej przetwarzanie procesorowi. Przecież jest analogicznie, jak ze zlecaniem usług księgowych - jeśli biuro zawali, to US i tak czepiać się będzie podatnika. Zatem, nie wiem, czy upoważnienia i nadzór nad pracą obcej firmy nie okaże się jednak praktyczniejszy.
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Upoważnienie przez ADO? Powierzenie?

Moim zdaniem należy przeanalizować dokładnie czy serwisant ma rzeczywiście za zadanie przetwarzać dane osobowe? Ja zawsze to porównuję do serwisu sprzątającego - jeśli nie jest przedmiotem zlecenia niszczenie danych osobowych, a sprzątanie pomieszczeń, to uważam, że należy zawrzeć umowę o zachowaniu poufności. Jeśli serwis ma przyjść i naprawić komputer na miejscu, to zasada w moim przekonaniu jest identyczna. Jestem przeciwnikiem upoważniania pracowników obcej firmy - jest wiele przeciw, jedno z nich - jak upoważniający zapewni, że ta osoba zapoznała się z przepisami o ochronie danych osobowych? Jak będzie pociągać upoważnionego do odpowiedzialności? Dlatego jeśli jest faktycznie celem przetwarzanie danych - lepiej powierzyć przetwarzanie podmiotowi zewnętrznemu, niż upoważniać jego pracowników.
Krzysztof Kranc

Krzysztof Kranc OCHRONA DANYCH I
DORADZTWO
GOSPODARCZE

Temat: Upoważnienie przez ADO? Powierzenie?

Tak, jak pisałem - umowa powierzenia byłaby na pewno lepsza, ale przedmówca ma rację - warto byłoby ustalić na czym ten serwis informatyczny miałby polegać. Jeśli to np. miałaby być diagnoza sprzętu i wymiana wadliwego podzespołu to nie mamy do czynienia z przetwarzaniem danych. Ale jeśli już trzeba byłoby wymienić twardy dysk, to już kopiujemy, czyli przenosimy dane, a to jak wiadomo operacja przetwarzania danych. Nie ma lekko - chyba, że chodzi o sprzątaczki właśnie, bo te jak wiadomo nie przetwarzają danych, tylko przebywać mogą w obszarze przetwarzania, stąd umowy, czy klauzule o poufności, a nie umowy powierzenia.
Reasumując napiszę tak: jeśli planujemy stale zlecać serwis informatyczny danej firmie (bo np. to transakcja wiązana z umową dostawy sprzętu, wymagania gwarancyjne, czy wymogi zamówienia publicznego), to dążmy do zawarcia umowy powierzenia, a jeśli naprawa jest sprawą incydentalną, to starajmy się to zrobić w naszej firmie zapraszając speców i patrzmy im na ręce. Nie zawadzi sporządzić służbową notatkę z nadzoru naprawy, a najlepiej protokół odbioru poświadczony przez serwisanta - że byli naprawili i danych nie przenosili, czy nie przyglądali ... opcji jest sporo, a kłopot niestety zawsze nasz, jako umocowanych rzez ADO :)

Następna dyskusja:

Dokumentowanie sposobu prze...




Wyślij zaproszenie do