W naszym ostatnim artykule https://www.rodo.pl/post/powierzanie-danych-1 zobowiązaliśmy się do przedstawienia stanowisk Prezesa Urzędu Ochrony Danych Osobowych, dotyczących obszaru powierzania danych.
Zgodnie z obietnicą poniżej przedstawiamy zbiór odpowiedzi udzielonych przez Urząd w tym zakresie.
1. Czy z firmą szkoleniową trzeba zawrzeć umowę powierzenia ? - https://uodo.gov.pl/pl/225/1736
Proces, który od początku w RODO był "niedookreślony" i po samej odpowiedzi Urzędu taki pozostał.
Jedyne czego dowiemy się z powyższej odpowiedzi , to że jeśli mówimy o szkoleniach BHP, to przepisy prawa, a dokładniej w § 4 i § 5, rozporządzenia Ministra Gospodarki i Pracy z dnia 27 lipca 2004 r. w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy stawiają zewnętrzny podmiot jako oddzielnego Administratora danych.
W pozostałych procesach szkoleniowych każdorazowo musimy dokonać analizy, kto decyduje o sposobach i celach przetwarzania danych, ponieważ czasami może być to firma zatrudniająca pracownika, w innych przypadkach firma szkoląca.
Prawidłowe określenie powyższego powinny w naszej opinii wykonać firmy oferujące szkolenia, już przed wysłaniem oferty.
2. Czy w celu wytworzenia legitymacji należy skorzystać z powierzenia przetwarzania? - https://uodo.gov.pl/pl/225/1642
Zgodnie z art. 11a ust. 1 ustawy Karta Nauczyciela, dyrektor szkoły, na wniosek nauczyciela, wystawia nauczycielowi legitymację służbową. Ponadto zgodnie z treścią § 2 ust. 1 rozporządzenia Ministra Edukacji Narodowej z dnia 29 września 2006 r. … dyrektor szkoły w terminie 30 dni od dnia złożenia przez nauczyciela wniosku o jej wystawienie. Szkoła udostępnia podmiotowi zewnętrznemu w celu wykonania legitymacji dane osobowe w zakresie: imię i nazwisko, kolorowe zdjęcie posiadacza legitymacji oraz podpis posiadacza.
Zgodnie z powyższym wg. PUODO w przedstawionej sytuacji zasadne jest zawarcie umowy powierzenia przetwarzania danych osobowych przez szkołę z podmiotem zewnętrznym, który wytwarza legitymacje służbowe dla nauczycieli.
3. Czy biegli rewidenci mają status administratora w związku ze świadczeniem swoich usług? - https://uodo.gov.pl/pl/225/1248
Firmy audytorskie oraz biegli rewidenci wykonując swoje zadania nie są związane poleceniami klienta oraz muszą działać zgodnie z obowiązującymi je przepisami. Ustawa z dnia 11 maja 2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym wskazuje, że istotą tego zawodu jest niezależność i obiektywizm w przeprowadzaniu badania.
Zgodnie z powyższym mamy tu relację dwóch odrębnych administratorów oraz przetwarzanie danych na podstawie przepisów prawa. Nie podpisujemy umowy powierzenia
Podobne stanowisko dotyczące adwokatów i radców prawnych, przedstawił UODO w swoim newsletterze dla IOD, którzy również są oddzielnymi Administratorami, którzy przetwarzają dane po zakończeniu współpracy przez określony przepisami okres.
4. Czy z sołtysem należy zawierać umowę powierzenia? - https://uodo.gov.pl/pl/225/1618
Wobec powyższego w przypadkach gdy sołtys będzie działał w celu wykonywania zadań wskazanych w ustawach (np. ustawy Ordynacja podatkowa), uchwałach rady gminy, zarządzeniach wójta zgodnie z statutem sołectwa będzie on reprezentował gminę przed mieszkańcami i może działać na podstawie upoważnienia od wójta np. jako inkasent lub doręczyciel. Gdy sołtys będzie realizował inne zadania wynikające ze statutu sołectwa związane z reprezentacją mieszkańców sołectwa przed gminą, wówczas dojść może do sytuacji, w której sołtys lub sołectwo – ze względu na okoliczności danego przypadku – będzie mogło zostać uznane za administratora.
5. Czy w przypadku PPE pracodawca powinien zawrzeć umowę powierzenia ? - https://uodo.gov.pl/pl/225/1869
Zasady tworzenia i działania pracowniczych programów emerytalnych, warunki, które powinny spełniać podmioty realizujące programy, oraz warunki uczestnictwa w tych programach określone zostały w szczególności w ustawie z dnia 20 kwietnia 2004 r. o pracowniczych programach emerytalnych (ustawa o PPE).
Zgodnie z powyższym mamy tu relację dwóch odrębnych administratorów oraz udostępnienie danych w ramach przepisów prawa.
6. Czy z laboratorium należy zawrzeć umowę powierzenia? - https://uodo.gov.pl/pl/225/1552
W celu wykonywania badań diagnostycznych podmioty świadczące takie usługi przetwarzają dane osobowe osób, od których pochodzi materiał do tych badań. Dane te pozyskiwane są bezpośrednio od osób, których dotyczą lub też z innych źródeł, np. od szpitali, które zlecają tym podmiotom wykonywanie badań próbek pobranych od swoich pacjentów.
Przetwarzając powyższe dane osobowe, laboratorium diagnostyczne realizuje swoje własne zadania, w związku z przepisami prawa.
Ponownie mamy tu relację dwóch odrębnych administratorów oraz udostępnienie danych w ramach przepisów prawa.
7. Czy w przypadku kierowania ucznia na praktyki zawodowe konieczne jest powierzenie? - https://uodo.gov.pl/pl/225/1465
W przypadku organizacji praktycznej nauki zawodu przez szkołę przekazuje ona na mocy umowy dane osobowe uczniów podmiotowi, z którym zawarła umowę o realizacje takiej nauki. Podmiot ten z chwilą otrzymania danych ucznia staje się ich administratorem. Zwrócić bowiem należy uwagę, że zarówno szkoła, jak i pracodawca mają określone w ww. rozporządzeniu role i zadania związane z organizacją praktycznej nauki zawodu.
Ponownie mamy tu relację dwóch odrębnych administratorów oraz udostępnienie danych w ramach przepisów prawa.
8. Czy w przypadku dożywiania dzieci szkoła musi zawrzeć umowę powierzenia danych z OPS? - https://uodo.gov.pl/pl/225/1170
Obie instytucje działają na podstawie przepisów prawa w związku z czym w ww. przypadku mamy do czynienia z udostępnieniem danych osobowych na podstawie przepisów prawa.
9. Czy pracodawca powinien zawierać umowy powierzenia z takimi podmiotami, jak ZUS czy bank? - https://uodo.gov.pl/pl/225/878
W tym przypadku tak jak pisaliśmy w pierwszym artykule, dochodzi do udostępnienia danych, więc umowa powierzenia nie jest wymagana.
10. Ostatnia odpowiedź UODO (https://uodo.gov.pl/pl/225/1467) dotyczyła procesu fumigacji, a jej treść brzmiała:
Czy w przypadku przekazania do odkażania (fumigacji) pudeł zawierających dokumenty (pudła są zamknięte, zapieczętowane i nie są na żadnym etapie odkażania otwierane przez pracowników zleceniobiorcy) należy zawrzeć umowę powierzenia przetwarzania danych? Dokumenty zawarte w pudłach mogą, ale nie muszą zawierać danych osobowych. W mojej ocenie odkażanie dokumentów jest czynnością techniczną, nie jest to czynność dokonywana na danych, a na pudłach zawierających bliżej nieokreślone dokumenty i w związku z tym ww. umowa nie jest potrzebna. Sytuację tę można porównać do przekazywania przesyłek poczcie w celu ich dostarczenia – wtedy przecież również nie ma potrzeby zawierania umowy powierzenia.
W tym przypadku mimo, że sama czynność fumigacji nie jest czynnością wykonywaną na danych osobowych, Prezes UODO zaleca podpisanie umowy powierzenia danych. Uzasadnia to zapewnieniem kontroli nad przetwarzanymi danymi i wymuszeniu zapewnienia bezpieczeństwa dla przekazanych danych wobec podmiotu przetwarzającego, z czym nie trudno się nie zgodzić.
Przekazujemy przecież kartony z dokumentacją, a obowiązkiem naszym jest zapewnienie, ze nie zostaną one zgubione podczas transportu albo przekazane do odrobaczania np. poza EOG, a umowa jak najbardziej taki obowiązek na podmiocie wymusi.
W tej samej odpowiedzi pada jeszcze jedno ważne stanowisko, dotyczące operatorów pocztowych:
Poczta Polska i inni operatorzy pocztowi w związku z wykonywaniem usług pocztowych są administratorami danych osobowych nadawców i adresatów przesyłek, a jednocześnie odpowiadają za bezpieczeństwo przesyłek (i zawartych w nich danych osobowych) w ramach należytego wykonywania usług pocztowych oraz przestrzegania zasad i obowiązków określonych w Prawie pocztowym.
11. I na koniec też ważna informacja już nie od naszego Prezesa, ale z wytycznych European Data Protection Board, która dotyczy firmy sprzątającej ?
Zgodnie z wytycznymi EDPD https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_pl , czynności prowadzone przez firmę sprzątająca nie odbywają się na danych osobowych i w ramach umowy, powinniśmy zapewnić aby podmiot taki zobowiązał się do zachowania poufności w przypadku dostępu do danych.
Jak widzimy powyżej większość odpowiedzi na zadane pytania stwierdza, że umowa nie jest zasadna.
Niestety wraz z wejściem w życie RODO, wiele z wskazanych powyżej umów została błędnie podpisana, w związku z czym należy ponownie dokonać przeglądu rejestru umów powierzenia, oczywiście jeśli Państwo taki posiadają i błędne umowy po prostu zakończyć.
W naszym kolejnym poście przyjrzymy się weryfikacji podmiotu przetwarzającego, której powinniśmy dokonać przed podpisaniem umowy o powierzeniu danych.
Pozdrawiamy,
Zespół rodo.pl
Comments