Blog Prawo karne

System do faktur, CRM, outsourcing, czyli zewnętrzne usługi a powierzenie danych osobowych w świetle RODO

30 marca 2018 / Kategoria: Prawo w biznesie
product manager w Fakturownia.pl
Maria Seta

25 maja 2018, czyli za dwa miesiące, ogólne Rozporządzenie o ochronie danych osobowych będzie stosowane jednolicie we wszystkich państwach członkowskich Unii Europejskiej. Rozporządzenie wprowadza wiele zmian w dotychczasowym sposobie ochrony danych, ale daje również przedsiębiorcy większa? swobodę w dostosowaniu sposobu ich zabezpieczenia. Powstaje również Ustawa, która uzupełnia kwestie nieuregulowane w obowiązującej obecnie U.o.d.o. z dnia 29 sierpnia 1997 r.

Jednym ze szczegółowo określonych w Rozporządzeniu tematów jest powierzenie przetwarzania danych innym podmiotom. Taka sytuacja ma miejsce, gdy przedsiębiorca przekazuje dane, których jest administratorem w celu przetwarzania ich w jego imieniu, to znaczy korzysta z zewnętrznych usług, takich jak na przykład system do faktur, CRM, zewnętrzna księgowość lub dział prawny, czy tez? wszelkiego rodzaju outsourcing, w przypadku którego dochodzi do przekazania danych osobowych.

Rozporządzenie wskazuje, iż powierzenie danych może nastąpić jedynie w drodze współpracy z podmiotami, zapewniającymi wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Rozporządzenia i chroniło prawa osób, których dane dotyczą. Zapis ten interpretowany jest przez prawników jako nałożenie na administratora obowiązku znajomości sposobu przetwarzania przez procesora powierzanych mu danych, a także upewnienia się co do zgodności stosowanych przez procesora procedur z regulacjami wprowadzanymi przez Rozporządzenie.

Przetwarzanie danych może odbywać się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora. Artykuł 28 RODO w szczegółowy sposób określa sposób uregulowania powierzenia danych do przetwarzania. Artykuł ten z dniem 25 maja 2018 roku “zastąpi” stosowany do tej pory art. 31 Ustawy o ochronie danych osobowych. Z tego powodu administratorzy danych będą zobowiązani do dostosowania treści zawieranych umów oraz aneksowania tych zawartych dotychczas o zapisy wymagane w Rozporządzeniu.

Jakie informacje powinna zawierać umowa powierzenia przetwarzania danych w obliczu RODO?

Przedmiot przetwarzania:

określenie danych, będących przedmiotem przetwarzania, na przykład dane pracowników administratora.

Czas trwania przetwarzania:

wskazanie momentu rozpoczęcia oraz zakończenia przetwarzania danych przez podmiot przetwarzający, na przykład odwołanie się do okresu obowiązywania umowy świadczenia usług.

Charakter przetwarzania:

określenie sposobu przetwarzania - zbieranie, utrwalanie, przechowywanie, usuwanie etc. oraz sposobu utrwalenia danych (nośniki papierowe, systemy informatyczne).

Cel przetwarzania:

odwołanie do celu przetwarzania danych, na przykład realizacja umowy o świadczeniu usług outsourcingowych.

Rodzaj przetwarzanych danych osobowych:

?wskazanie czy przetwarzane dane są danymi zwykłymi czy danymi wrażliwymi.

Kategorie osób, których dane dotyczą:

określenie kryteriów wspólnych dla grupy osób, których dane są przetwarzane, na przykład pracownicy administratora danych.

Obowiązki i prawa administratora:

na przykład prawo do kontrolowania procesora.

Obowiązki podmiotu przetwarzającego:

na przykład zapis o pomocy ze strony podmiotu przetwarzającego w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, zgodnie z art. 32 Rozporządzenia czy uzyskanie zgody na podpowierzenie danych.

Jeżeli powierzają Państwo dane, które administrują, do przetwarzania innym podmiotom, przed 25 maja należy uregulować powierzenie przetwarzania zgodnie z wymogami Rozporządzenia. RODO umożliwia podpisanie takiej umowy również w formie elektronicznej. Należy pamiętać, że majowa data nie wprowadza okresu przejściowego i każdy podmiot przetwarzający dane będzie musiał być w pełni przygotowany na nowe realia w przetwarzaniu danych osobowych.

 

 

 

Artykuł nie jest porada? prawna? i jako takowa nie powinien być traktowany.

Tagi:

marketing prawo prawo w biznesie

Komentarze (0)

Dodaj

Podobał Ci się ten artykuł? Zapisz się do newlettera!

My też nie lubimy spamu dlatego obiecujemy wysyłać Ci tylko wartościowe treści.

Masz pytanie?

Zadaj je autorom