- Łączenie funkcji w ochronie informacji niejawnych
- Jak prawidłowo zatrudnić Pełnomocnika ds. ochrony informacji niejawnych
- Organizacji kancelarii tajnej obsługującej dwie lub więcej jednostek organizacyjnych
- Szkolenia z informacji niejawnych - kiedy, kogo i przez kogo?
- Informacje niejawne w przetargach publicznych
Co z przetwarzaniem danych osobowych przez podmioty utrzymujące hosting i konta mailowe w imieniu przedsiębiorcy?
Powszechną praktyką przedsiębiorców jest zawieranie umów o świadczenie usług zapewniających hosting strony WWW lub pocztę e-mail, jak również inne usługi informatyczne, z wyspecjalizowanymi podmiotami trzecimi. Często jednak świadomość istniejących z tego tytułu obowiązków prawnych z zakresu ochrony danych osobowych jest już zdecydowanie bardziej deficytowa.
Zgodnie z obecnie obowiązującą ustawą o ochronie danych osobowych, jak również z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej „RODO” – znajdującym zastosowanie w Polsce od 25 maja 2018 r., przetwarzaniem danych osobowych jest również ich przechowywanie przez podmioty trzecie lub ujawnianie danych osobowych poprzez ich przesyłanie przez administratora. Powyższe stanowi w zasadzie główny przedmiot wskazanych umów o świadczenie usług, na podstawie których usługodawca przetwarza (często właśnie bez odpowiedniej podstawy prawnej)dane osobowe w imieniu usługodawcy, czyli administratora tych danych. Zgodnie z ustawą odpowiedzialność za przestrzeganie przepisów spoczywa na administratorze danych, co jednak nie wyłącza odpowiedzialności podmiotu, który zawarł umowę (procesora) za przetwarzanie danych niezgodnie z umową.
Dlatego też, aby zapewnić zgodność świadczenia usług informatycznych we wspomnianym zakresie i jednocześnie uniknąć niebezpiecznych i potencjalnie bardzo dotkliwych konsekwencji wynikających z naruszenia RODO, należy zawrzeć z usługodawcą umowę powierzenia przetwarzania danych osobowych. Względem obecnie obowiązującej ustawy, RODO bardziej precyzyjnie określa zarówno kształt i formę samej umowy, jak również postanowienia, które muszę się w niej znaleźć.
Zgodnie z obecnie obowiązującą ustawą powinna określać zakres oraz cel przetwarzania danych osobowych.
Na podstawie RODO: powinna dodatkowo określać między innymi: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, obowiązki i prawa administratora, a także obowiązki procesora, których przykładowe wyliczenie zawiera art.28 ust. 3 Rozporządzenia.
Podsumowując, aby 25 maja 2018 r. być RODO ready pozostało niewiele czasu, a warto pamiętać, że również na gruncie ustawy o ochronie danych osobowych zawarcie umowy powierzenia jest obowiązkiem administratora. Aby nie czekać na reakcję organu nadzorczego, warto już teraz pomyśleć o uregulowaniu tych kwestii z dostawcami usług.
Radca prawny przy Okręgowej Izbie Radców Prawnych w Warszawie, absolwent Wydziału Prawa i Administracji Uniwersytetu Warszawskiego (wyróżnienie) oraz Szkoły Prawa Amerykańskiego organizowanej przez University of Florida Frederic G. Levin Collage of Law. Współautor książki poświęconej problematyce prawa pracy i ubezpieczeń społecznych. Obecnie zajmuje się obsługą prawną podmiotów zarówno sektora prywatnego, jak i publicznego. Swoje zainteresowania zawodowe skupia wokół prawa cywilnego oraz prawa administracyjnego, w tym również ochrony danych osobowych.
Dzień dobry.
Czy, jeżeli dotychczasowy dostawca serwera poczty odmawia podpisania umowy o powierzeniu przetwarzania danych osobowych, to pozostaje nam tylko zmiana dostawcy?
A co w sytuacji gdy odsprzedajemy usługę chmurową lub hostingową?
Czy sprzedawca ma zawrzeć umowę powierzenia z klientem końcowym?
Jeśli tak, to czy musi podać od kogo kupuje usługi czy wystarczy, że powie, że powierza dane dalej, a w razie roszczeń dopiero poda komu?
Art. 28 pkt. 2 RODO mówi o czymś takim jak wskazanie „ogólne” lub „szczegółowe”… 😉