Temat: Zleceniobiorca - agent ubezpieczeniowy - powierzenie czy...

Z tego RODO to się robi RODeO. Poniżej kolejny przykład z życia, który moim zdaniem jest absurdalny.

Pani Janina - osoba fizyczna, nie prowadząca działalności gospodarczej - zawarła umowę zlecenia z firmą ubezpieczeniową w ramach, której to umowy obsługuje ona ubezpieczonych w ramach ubezpieczenia grupowego w podmiocie X. W tej relacji reprezentuje ona ubezpieczyciela na mocy w/w umowy zlecenia.

24.05 otrzymała ona umowę powierzenia przetwarzania, gdzie Ubezpieczyciel jest Administratorem a pani Janina Przetwarzajacym.

I teraz co się dzieje. Jeśli pani Janina podpisze tę umowę, to przyjmie na siebie wszystkie obowiązki wynikające z art. 28 RODO wraz z sankcjami, np. słynne 10 milionów EUR.

Co więcej, na mocy art. 37 będzie ona musiał wyznaczyć IOD, bo "Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
[...]

b) główna działalność administratora LUB podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) główna działalność administratora LUB podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10".

Totalny nonsens lub kolejny przykład jak to duże firmy ubezpieczeniowe próbują się pozbyć odpowiedzialności!

Pytanie zasadnicze: czy pani Janina może być administratorem danych a co za tym idzie może być podmiotem przetwarzjącym. Moim zdaniem zdecydowanie NIE.

Wg mnie właściwym rozwiązaniem byłoby uznanie pani Janiny za członka personelu administratora oraz udzielenie jej upoważnienia do przetwarzania.

Ciekaw jestem waszych opinii.

Temat: Zleceniobiorca - agent ubezpieczeniowy - powierzenie czy...

Michał S.:
24.05 otrzymała ona umowę powierzenia przetwarzania, gdzie Ubezpieczyciel jest Administratorem a pani Janina Przetwarzajacym.

Ale jakie operacje przetwarzania będzie ona wykonywać w imieniu ubezpieczyciela, nie w imieniu ubezpieczającego?

I teraz co się dzieje. Jeśli pani Janina podpisze tę umowę, to przyjmie na siebie wszystkie obowiązki wynikające z art. 28 RODO wraz z sankcjami, np. słynne 10 milionów EUR.

To niech nie podpisuje.

Co więcej, na mocy art. 37 będzie ona musiał wyznaczyć IOD

Raczej czegoś w tym przepisie nie rozumiesz.

Wg mnie właściwym rozwiązaniem byłoby uznanie pani Janiny za członka personelu administratora

Nie, bo nie jest pracownikiem. Jest to umowa cywilnoprawna.

Temat: Zleceniobiorca - agent ubezpieczeniowy - powierzenie czy...

Ok, Pawle ale gdzie jest napisane że Adm może upoważnić tylko pracownika a nie inna osobę ? W art 29 i 32 mówi o osobie lub osobie fizycznej działającej z upoważnienia Adm -nie ma mowy o pracowniku. Gdzie wiec jest zakaz upoważnienia do przetwarzania danych osoby fizycznej prowadzącej działalność gosp . zamiast zawierania umowy powierzenia?
Nie ma go w rodo. Moim zdaniem oczywiście :)

Temat: Zleceniobiorca - agent ubezpieczeniowy - powierzenie czy...

Monika K.:
Ok, Pawle ale gdzie jest napisane że Adm może upoważnić tylko pracownika a nie inna osobę ? W art 29 i 32 mówi o osobie lub osobie fizycznej działającej z upoważnienia Adm -nie ma mowy o pracowniku. Gdzie wiec jest zakaz upoważnienia do przetwarzania danych osoby fizycznej prowadzącej działalność gosp . zamiast zawierania umowy powierzenia?
Nie ma go w rodo. Moim zdaniem oczywiście :)

Podzielam Pani pogląd. A poza wszystkim, nie wyobrażam sobie sytuacji gdyby z każdym zleceniobiorcą lub wykonawcą dzieła trzeba było zawrzeć umowę powierzenia. Co więcej, byłoby to niemożliwe w wielu przypadkach, bo ADM nie byłby w stanie wywiązać się z obowiązku art 28 ust 1 np. w odniesieniu do studentów, których zatrudnia sezonowo. Podobnie będzie ze stażystami i praktykantami.

No i sprawa kolejna - czy zleceniobiorca, np. tymczasowo zatrudniony przy obsłudze kadrowej, gdzie ma dostęp do szczególnych kategorii danych, i zostałby uzunany za procesora, miałby wtedy wyznaczyć IOD dla samego siebie? :)

Temat: Zleceniobiorca - agent ubezpieczeniowy - powierzenie czy...

Monika K.:
Ok, Pawle ale gdzie jest napisane że Adm może upoważnić tylko pracownika a nie inna osobę ? W art 29 i 32 mówi o osobie lub osobie fizycznej działającej z upoważnienia Adm -nie ma mowy o pracowniku.

Tam mowa jeszcze o poleceniu. Jak mogę polecić przetwarzanie osobie, która nie jest moim pracownikiem?

Temat: Zleceniobiorca - agent ubezpieczeniowy - powierzenie czy...

Michał S.:
sytuacji gdyby z każdym zleceniobiorcą lub wykonawcą dzieła trzeba było zawrzeć umowę powierzenia. Co więcej, byłoby to niemożliwe w wielu przypadkach, bo ADM nie byłby w stanie wywiązać się z obowiązku art 28 ust 1 np. w odniesieniu do studentów, których zatrudnia sezonowo.

Dlaczego nie?

No i sprawa kolejna - czy zleceniobiorca, np. tymczasowo zatrudniony przy obsłudze kadrowej, gdzie ma dostęp do szczególnych kategorii danych, i zostałby uzunany za procesora, miałby wtedy wyznaczyć IOD dla samego siebie? :)

Coś ty się tak tego rzekomego obowiązku wyznaczania IODa dla każdego procesora uczepił?

Temat: Zleceniobiorca - agent ubezpieczeniowy - powierzenie czy...

Paweł G.:
Coś ty się tak tego rzekomego obowiązku wyznaczania IODa dla każdego procesora uczepił?

Gdzie napisałem, że każdego?

Temat: Zleceniobiorca - agent ubezpieczeniowy - powierzenie czy...

Paweł G.:

Tam mowa jeszcze o poleceniu. Jak mogę polecić przetwarzanie osobie, która nie jest moim pracownikiem?

Sam sobie przeczysz. Art. 28 ust. 3 lit a: (podmiot przetwarzający) przetwarza dane osobowe na udokumentowane polecenie administratora...

Idąc Twoim tokiem, zleceniobiorca nie podlega poleceniom adm, więc nie może zrealizaować tego warunku, więc nie może być procesorem. Zagadka rozwiązana. Dzięki.

Temat: Zleceniobiorca - agent ubezpieczeniowy - powierzenie czy...

Michał S.:
Idąc Twoim tokiem, zleceniobiorca nie podlega poleceniom adm, więc nie może zrealizaować tego warunku, więc nie może być procesorem.

Nie podlega, póki nie zawrze umowy cywilnoprawnej w zakresie powierzenia przetwarzania danych.

Temat: Zleceniobiorca - agent ubezpieczeniowy - powierzenie czy...

Michał S.:
Z tego RODO to się robi RODeO. Poniżej kolejny przykład z życia, który moim zdaniem jest absurdalny.

Pani Janina - osoba fizyczna, nie prowadząca działalności gospodarczej - zawarła umowę zlecenia z firmą ubezpieczeniową w ramach, której to umowy obsługuje ona ubezpieczonych w ramach ubezpieczenia grupowego w podmiocie X. W tej relacji reprezentuje ona ubezpieczyciela na mocy w/w umowy zlecenia.

24.05 otrzymała ona umowę powierzenia przetwarzania, gdzie Ubezpieczyciel jest Administratorem a pani Janina Przetwarzajacym.

W moim zakładzie sprawa ma się podobnie , z tym że pzu panią Janinę pominęło i przysłało umowę powierzenia, z której wynika, że to pracodawca jest procesorem, a oni Administratorem. Nie podpisałem!

Temat: Zleceniobiorca - agent ubezpieczeniowy - powierzenie czy...

Michał S.:
Z tego RODO to się robi RODeO. Poniżej kolejny przykład z życia, który moim zdaniem jest absurdalny.

Pani Janina - osoba fizyczna, nie prowadząca działalności gospodarczej - zawarła umowę zlecenia z firmą ubezpieczeniową w ramach, której to umowy obsługuje ona ubezpieczonych w ramach ubezpieczenia grupowego w podmiocie X. W tej relacji reprezentuje ona ubezpieczyciela na mocy w/w umowy zlecenia.

Wstrzymaj cugle. To do czego przyznała się pani Janina, to pośrednictwo ubezpieczeniowe (2.1. ustawa z 22.5.2003), a ona sama jest agentem lub brokerem (2.2.). Skoro przyjęła na siebie pewne prawa, to niech nie narzeka na obowiązki.

24.05 otrzymała ona umowę powierzenia przetwarzania, gdzie Ubezpieczyciel jest Administratorem a pani Janina Przetwarzajacym.

I słusznie. Rzeczona p.Janina chciałaby być zwolniona z jakichkolwiek obowiązków i odpowiedzoalności?

I teraz co się dzieje. Jeśli pani Janina podpisze tę umowę, to przyjmie na siebie wszystkie obowiązki wynikające z art. 28 RODO wraz z sankcjami, np. słynne 10 milionów EUR.

Tak. W zakresie w jakim to ona przetwarza d.o.

Co więcej, na mocy art. 37 będzie ona musiał wyznaczyć IOD, bo "Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
[...]

b) główna działalność administratora LUB podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

Pudło. Główną działalnością p.Janiny jest świadczenie pracy (jako księgowa, kadrowa czy sprzątaczka).

c) główna działalność administratora LUB podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10".

Pudło. j.w.

Totalny nonsens lub kolejny przykład jak to duże firmy ubezpieczeniowe próbują się pozbyć odpowiedzialności!

Nonsensem jest zła interpretacja rodo. TU dbają by ich agenci przestrzegali przepisów prawa.

Temat: Zleceniobiorca - agent ubezpieczeniowy - powierzenie czy...

Nasza kadrowa, tak samo ma podpisaną umowę - zlecenie z TU i otrzymała umowę powierzenia na osobę fizyczną, gdzie wg umowy powierzenia, miejscem przetwarzania jest jej prywatny adres i w sytuacji, gdy podpisze umowę, to TU może z 7-dniowym wyprzedzeniem wysłać do niej informację, że wykona kontrolę. Dane przetwarza w miejscu zatrudnienia.

W sytuacji, gdy nie podpisze, TU zerwie z nią współpracę.
No nie w tą stronę jednak to powinno iść.

Temat: Zleceniobiorca - agent ubezpieczeniowy - powierzenie czy...

Karolina K.:
Nasza kadrowa, tak samo ma podpisaną umowę - zlecenie z TU i otrzymała umowę powierzenia na osobę fizyczną, gdzie wg umowy powierzenia, miejscem przetwarzania jest jej prywatny adres i w sytuacji, gdy podpisze umowę, to TU może z 7-dniowym wyprzedzeniem wysłać do niej informację, że wykona kontrolę. Dane przetwarza w miejscu zatrudnienia.

W sytuacji, gdy nie podpisze, TU zerwie z nią współpracę.
No nie w tą stronę jednak to powinno iść.

Firma, o której pisałem odpisała TU że nie akceptuje takiej formy współpracy. Obsługę ubezpieczonych zleciła brokerowi, z którym zawarła prawidłową umowę powierzenia, więc temat się rozwiązał. Wymuszanie na zleceniobiorcach TU podpisywania umów powierzenia jest bezpodstawne IMHO.

Temat: Zleceniobiorca - agent ubezpieczeniowy - powierzenie czy...

Karolina K.:
Nasza kadrowa, tak samo ma podpisaną umowę - zlecenie z TU i otrzymała umowę powierzenia na osobę fizyczną, gdzie wg umowy powierzenia, miejscem przetwarzania jest jej prywatny adres i w sytuacji, gdy podpisze umowę, to TU może z 7-dniowym wyprzedzeniem wysłać do niej informację, że wykona kontrolę. Dane przetwarza w miejscu zatrudnienia.

W sytuacji, gdy nie podpisze, TU zerwie z nią współpracę.
No nie w tą stronę jednak to powinno iść.

Jak najbardziej w tą stronę. To jest prostowanie zaszłości - "bo tak było od zawsze".

Umowa kadrowej z TU była fikcją w zakresie miejsca przetwarzania d.o. pracowników firmy. Kadrowa winna mieć umowę na korzystanie ze sprzętu firmy do celów prywatnego zarobku. Nie bez znaczenia jest, że kadrowa wykonywała pracę na rzecz TU w godzinach pracy w firmie.