GoldenLine
Zaloguj się
Agata Pęzińska

Agata Pęzińska Starszy Specjalista

Temat: POWIERZENIE DANYCH OSOBOWYCH _UMOWA

Witajcie,
czy ktoś z Was dysponuje jakimś wzorem na umowę powierzenia przetwarzania danych osobowych? Muszę zawrzec taką umowę z firmą informatyczną, która prowadzi kwartalne szkolenia z POMOSTU na naszych roboczych stanowiskach. W umowie z ogólnej mam tylko klauzule o przestrzeganiu zasad ochrony danych zgodnie z ustawą ale powinnam miec dodatkową z nazwą zarejestrowanego w GIODO zbioru itd..Będę wdzięczna za pomoc.
Pozdrawiam
Link do wypowiedziLink
Marcin W.

Marcin W.
TI/IT/VM/HT/PC/XP/AD
/SE/XL/XE/AS/TB/CP/J
S/JV

Temat: POWIERZENIE DANYCH OSOBOWYCH _UMOWA

Jeżeli masz klauzulę w umowie, to imho wystarczy tylko upoważnienie na konkretne osoby przetwarzające te dane, które wystawia ABI, a podpisuje ADO.
Link do wypowiedziLink

konto usunięte

Temat: POWIERZENIE DANYCH OSOBOWYCH _UMOWA

Marcin MaW W.:
Jeżeli masz klauzulę w umowie, to imho wystarczy tylko upoważnienie na konkretne osoby przetwarzające te dane, które wystawia ABI, a podpisuje ADO.

Marcinie wprowadzasz koleżankę w błąd.

Powierzenie przetwarzania danych osobowych następuje w drodze umowy zawartej na piśmie. Może być to umowa stricte dotycząca powierzenia przetwarzania danych osobowych, lub inna umowa zawierająca dodatkowo wymagane zapisy wiążące się z omawianą tu kwestią (np. umowa wykonania jakiejś usługi). W przypadku sektora prywatnego umowa taka ma charakter cywilnoprawny, a w sektorze publicznym odbywa się to na podstawie umowy publicznoprawnej lub w drodze jednostronnego powierzenia określonych zadań podmiotowi podległemu w stosunku do administratora danych.

Nie wystarczy aby taka umowa zawierała "klauzule o przestrzeganiu zasad ochrony danych zgodnie z ustawą". Mamy swobodę co do kreowania treści takiej umowy, ale musi ona szczegółowo określać zakres i cel przetwarzania danych osobowych przez podmiot któremu przetwarzanie powierzono.

Podmiot któremu powierzono przetwarzanie danych osobowych na podstawie przepisów prawa (art.31 ust.2 uodo) nabywa obowiązek przestrzegania rozdziału piątego uodo (dotyczącego zabezpieczenia danych osobowych), wiec zapis w umowie o takim obowiązku jest zbędny, ale oczywiście może zostać zawarty.

Pozdrawiam

Wojciech KogutWojciech Kogut edytował(a) ten post dnia 28.04.09 o godzinie 16:10
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: POWIERZENIE DANYCH OSOBOWYCH _UMOWA

Zgodnie z ustawą dane osobowe można powierzyć do przetwarzania innemu podmiotowi. Aby to zrobić, należy z tym podmiotem zawrzeć odpowiednią umowę, a w niej muszą znaleźć się odpowiednie zapisy.

Ustawa o ochronie danych osobowych
Art. 31.
Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.
Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.
W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.
Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19.
Należy pamiętać, że „przetwarzanie danych osobowych” jest w ustawie pojęciem bardzo szerokim – bo jako przetwarzanie rozumie się „jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych ”.

Przykładowym zarysem takiego zapisu może być „[Firma X] powierza [Firmie Y] w trybie art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r., nr 101, poz. 926 z późn. zm. – zwana dalej „ustawą o ochronie danych osobowych”), na warunkach określonych w niniejszej Umowie, przetwarzanie danych osobowych [określić jakich danych] w związku z zawarciem przez strony umowy o [cel umowy] …”.

Warunki określone dalej w umowie muszą spełniać wszystkie wymagania Art. 31 ustawy. Najważniejsze słowo kluczowe w takiej umowie to "powierza". Nie nalezy tego wyrazu mylić z "przekazuje" albo "udostępnia" bo według ustawy mają zupełnie inne znaczenie.

Może to byc odrębna umowa albo zapisy w głównej umowie.

Generalnie "W każdej umowie o powierzeniu przetwarzania danych konieczne jest:
- zakres: (rodzaj danych), w tym: (i) czy są to dane osobowe wyłącznie pracowników, czy również klientów, osób współpracujących z [firma] na podstawie umów cywilnoprawnych, oraz (ii) jakie informacje stanowiące dane osobowe będą przekazane np. imię, nazwisko, stanowisko;
- cel: (przeznaczenie danych) – generalnie w celu wykonania przedmiotowej umowy, ale należy doprecyzować jaki rodzaj operacji [firma Y] będzie mógł przeprowadzać na powierzonych do przetwarzania danych osobowych.

Dokładne określenie powyższego jest o tyle istotne, że są to niejako „ramy” dozwolonego przetwarzania danych osobowych. Zwracam uwagę, iż wykroczenie poza umownie wytyczony zakres lub cel przetwarzania danych nie jest jedynie naruszeniem warunków umowy, ale też naruszeniem samej ustawy"Leszek K. edytował(a) ten post dnia 28.04.09 o godzinie 16:17
Link do wypowiedziLink
Marcin W.

Marcin W.
TI/IT/VM/HT/PC/XP/AD
/SE/XL/XE/AS/TB/CP/J
S/JV

Temat: POWIERZENIE DANYCH OSOBOWYCH _UMOWA

hmmm... wobec tego, co piszecie, muszę zastanowić się, czy niektóre bazy nie są u nas przetwarzane niezgodnie z ustawą, ponieważ właśnie "powierzenie" zostało skierowane do konkretnych osób pracujących na tych danych.
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: POWIERZENIE DANYCH OSOBOWYCH _UMOWA

Spotkałem się kiedyś z opinią prawnika, że to powierzający dane powinien wydawać upoważnienia pracownikom firmy której dane zostały powierzone. Na szczęście była to opinia odosobniona. W rzeczywistości, powierzający dane, nie ma zwykle możliwości kontroli, kto po stronie powiernika przetwarza dane. Dlatego, moim zdaniem, wystarczające (i oczywiście zgodne z ustawą, jak napisał wcześniej Wojtek) jest wydawanie upoważnień przez powiernika..

W przypadku o który pyta Agata, nie zawracałbym sobie głowy umową powierzenia - to zbytnie komplikowanie sobie życia. Jeżeli mówimy o danych, do których dostęp zyska osoba prowadząca szkolenie, to w zupełności wystarczy upoważnienie wystawione przez ADO. Nigdzie nie jest powiedziane, że osoby które dostają upoważnienie podpisane przez dyrektora OPS, muszą być jego pracownikami.
Co innego, jeżeli firma świadczy również dodatkowe usługi i np. niezbędne będzie przekazanie danych do jej siedziby, wówczas należy podpisać umowę.
Link do wypowiedziLink

konto usunięte

Temat: POWIERZENIE DANYCH OSOBOWYCH _UMOWA

Co do upoważnień to zaproponowałbym następującą konstrukcję w umowie powierzenia: upoważnienia nadaje podmiot przyjmujący dane do przetwarzania (zleceniobiorca), natomiast ADO (podmiot powierzający) niech zagwarantuje sobie możliwość żądania wglądu do upoważnień na życzenia (albo np. w ciągu 7 dni od przedstawienia takiego żądania).

W umowie ponadto dopisałbym jeszcze zobowiązanie po stronie podmiotu przyjmującego dane, że spełnia wszystkie wymogi, o których mowa w rozdziale 5 ustawy o ochronie danych osobowych (można to jeszcze uszczegółowić odwołując się do posiadania własnej dokumentacji, a także wdrożenia odpowiednich zabezpieczeń technicznych i organizacyjnych).
Link do wypowiedziLink

konto usunięte

Temat: POWIERZENIE DANYCH OSOBOWYCH _UMOWA

Powierzenie przetwarzania danych osobowych powinno mieć miejsce gdy dane "wychodzą" poza "struktury ADO".

Upoważnienia do przetwarzania danych osobowych ADO może wystawiać bez względu na "koneksje" jakie go łączą z osobą upoważnianą. UODO nie wskazuje na jakiej podstawie upoważniony ma pracować dla ADO. Tak więc upoważnienie do przetwarzania danych osobowych może posiadać etatowy pracownik ADO, osoba pracująca na podstawie jakiejś umowy cywilnoprawnej dla ADO, lub "kolega" ADO który np. przyszedł na dwa dni nieodpłatnie pomóc przy czymś (informatyk w systemie itp.)
Link do wypowiedziLink
Adam Danieluk

Adam Danieluk Prezes
stowarzyszenia ISSA
Polska. Zarządzanie
ryzykiem, ...

Temat: POWIERZENIE DANYCH OSOBOWYCH _UMOWA

„która prowadzi kwartalne szkolenia z POMOSTU na naszych roboczych stanowiskach”
Pani Agato, czy dobrze rozumiem, że pracownicy firm zewnętrznej prowadzą szkolenia w siedzibie Pani firmy i dane nie są nigdzie dalej przekazywane? Istnieje natomiast potrzeba przeprowadzenia wspomnianych szkoleń na stanowiskach pracy i pracownicy firmy zewnętrznej będą mogli zobaczyć dane osobowe?

Jeśli tak sprawa wygląda to tak jak napisał Jarek, upoważnienie wydane przez ADO powinno być wystarczające.
Osobiście dołożyłbym jeszcze oświadczenie o znajomości UODO, w szczególności zaś o zachowaniu poufności podpisywane przez pracowników firmy zewnętrznej – w końcu nie łączą nas z tymi osobami żadne inne zobowiązania poza umową z firmą zewnętrzna, a warto dochować należytej staranności chroniąc dane.

Pozdr.

A.D.
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: POWIERZENIE DANYCH OSOBOWYCH _UMOWA

będą mogli (bo otworzą dokumenty, ale nie pozwoliliśmy im na to), a bedą mogli, bo chcemy żeby mieli dostęp - to dwie różne kwestie.
Link do wypowiedziLink

konto usunięte

Temat: POWIERZENIE DANYCH OSOBOWYCH _UMOWA

Leszek K.:
Generalnie "W każdej umowie o powierzeniu przetwarzania danych konieczne jest:
- zakres: (rodzaj danych), w tym: (i) czy są to dane osobowe wyłącznie pracowników, czy również klientów, osób współpracujących z [firma] na podstawie umów cywilnoprawnych, oraz (ii) jakie informacje stanowiące dane osobowe będą przekazane np. imię, nazwisko, stanowisko;"

A tak z ciekawości czemu uważasz, że zakres to rodzaj danych a nie rodzaj czynności, które podlegają powierzeniu np.: opracowywanie ale już nie udostępnianie i zbieranie?
Link do wypowiedziLink

konto usunięte

Temat: POWIERZENIE DANYCH OSOBOWYCH _UMOWA

Zapisanie samego powierzenia to raczej nie problem ale dobrze jest pamiętać, że administrator danych odpowiada dalej za to jak powierzone dane są przetwarzane i dlatego należy uregulować kilka kwestii:
kto upoważnia pracowników podmiotu, któremu powierzono przetwarzanie,
jakie operacje może wykonywać podmiot, któremu dane powierzono,
jakie grozą kary umowne za złamanie postanowień umowy lub przepisów o ile w ogóle takie kary są,
kto i w jakim terminie stworzy dokumentację techniczną dla nowego przetwarzania,
jak i przez kogo będzie kontrolowany podmiot, któremu powierzono przetwarzanie,
co się stanie z danymi po zakończeniu umowy i co się stanie z nośnikami na których przekazywano dane.
Link do wypowiedziLink

konto usunięte

Temat: POWIERZENIE DANYCH OSOBOWYCH _UMOWA

Witam

Jestem informatykiem i od niedawna również ABI (niestety) :)
Mam podobne pytanie:
Czy upoważnienie do przetwarzania danych osobowych może być wystawione na zewnętrzną firmę czy musi być imienne na pracownika tej firmy? Chodzi o sytuację gdzie zewnętrzna firma musi wykonać konwersję naszej bazy danych do nowego programu, który u niej zakupiliśmy.
Również pracownicy tej firmy rozpoczynają u nas szkolenia dot. nowego programu i czy w związku z tym, muszą mieć osobne upoważnienie?

Może sprawa prosta, ale dla początkującego to pewne wyzwanie, szczególnie że Administrator Danych ma tutaj obiekcje (prosił o wyjaśnienie).

pozdrawiam i proszę o odpowiedź
marcin
Link do wypowiedziLink

konto usunięte

Temat: POWIERZENIE DANYCH OSOBOWYCH _UMOWA

odpowiedź w moim poście wyżejWojciech Kogut edytował(a) ten post dnia 06.05.09 o godzinie 18:31
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Hosting a umowa o powierzen...




Wyślij zaproszenie do
Anuluj