Procedura oceny konieczności zawarcia umowy powierzenia przetwarzania danych osobowych

Analiza konieczności zawarcia umowy powierzenia przetwarzania danych osobowych

Procedura ma na celu wsparcie administratora i jego personelu w ocenie, czy przetwarzanie danych realizowane przez administratora, w szczególności w związku ze zlecaniem świadczenia usług podwykonawcom lub realizowaniu usług na rzecz klientów, które wiążą się z przetwarzaniem danych, wymaga zawarcia powierzenia zgodnie z art. 28 RODO.

Zasady ogólne

1. Administrator powierza dane, gdy inny podmiot będzie w jego imieniu i na jego polecenie przetwarzał dane, dla których jest administratorem.

2. Powierzenie dotyczy zlecania usług, które administrator powinien wykonywać samodzielnie, w związku z tym przez administratora należy rozumieć zlecającego usługi wymagające przetwarzania danych, a przez podmiot przetwarzający podwykonawcę, który realizując usługę będzie te dane przetwarzał.

3. Powierzenie może dotyczyć dowolnej czynności na danych osobowych, w tym:

• zbierania (np. w ramach akcji marketingowych, przez formularze elektroniczne lub papierowe);

• przesyłania (np. wysyłka paczek do InPost, wysyłanie maili do klientów);

• edytowania (np. aktualizacja danych w bazie marketingowej, aktualizacja danych kadrowych, poprawianie danych kontaktowych do dostawców);

• kopiowania (np. tworzenie kopii zapasowej danych, kopiowanie umów na potrzeby archiwizacji, kopiowanie danych użytkowników w celu przeniesienia do nowego systemu);

• niszczenia (np. utylizacja dokumentów przez Shred-it);

• przechowywania (np. usługi zewnętrznego archiwum, hosting systemu informatycznego);

• porządkowania (np. Porządkowanie akt kadrowych, porządkowanie dokumentów na potrzeby niszczenia);

• przeglądania/ analizowania (np. wgląd do danych w ramach usług helpdesk, analizowanie danych dotyczących wynagrodzeń pracowników w związku z zamówionym audytem zewnętrznym).

4. Powierzenie zachodzi także wówczas, gdy dane przekazywane podwykonawcy są szyfrowane lub w inny sposób zabezpieczone technicznie.

5. Do powierzenia nie będzie dochodziło, jeżeli przekazanie danych innemu podmiotowi jest uregulowane przepisami prawa, które określają ten podmiot jako administratora danych lub współadministratora danych. W związku z tym niezbędna jest analiza przepisów szczególnych.

6. Jeżeli przekazanie danych innemu podmiotowi jest realizowane na podstawie zgody osoby, której dane dotyczą, wówczas nie będzie dochodziło do powierzenia, gdyż przetwarzanie jest realizowane w związku i na podstawie tej zgody (np. Zgoda pracownika na udostępnienie Jana Kowalskiego oraz numeru telefonu i adresu email do firmy Multisport, świadczącej pracownikom benefity, w celu umożliwienia zawarcia umowy z tym pracownikiem).

Ocena konieczności zawarcia umowy powierzenia

Opis procesu, którego dotyczy analiza Opisać proces, np. Przekazanie danych kadrowych do uporządkowania i archiwizacji

Czy proces wiąże się z przetwarzaniem Tak - może być niezbędne zawarcie umowy powierzenia, należy danych? przejść do kolejnego kroku.

Nie - nie ma konieczności zawierania umowy powierzenia

I. Ocena przetwarzania w odniesieniu do przepisów szczególnych

1) Czy przetwarzanie danych przez inny Tak - Należy przejść do kroku 1a)

podmiot jest wymagane/uregulowane Nie - Należy przejść do 2) kroku.

przepisami prawa?

1a) Wnioski wynikające ze szczególnych Przepis prawa:

przepisów prawa Dz.U. 2023 poz. 1234

Czy z przepisu wynika konieczność powierzenia danych:

Tak - Należy przejść do sekcji III i wskazać konieczność zawarcia umowy.

Nie - Należy przejść do kolejnego kroku

2) Czy przepisy szczególne ustanawiają Tak - podmiot, któremu przekazywane są dane staje się ich administratorem, nie zachodzi zatem konieczność powierzenia. Należy

podmiot, który będzie przetwarzał dane administratorem tych danych w ramach przejść do sekcji III i wskazać, że nie zachodzi konieczność zawarcia

wykonywanej czynności? umowy.

Nie - Należy przejść do kolejnego kroku.

II. Ocena innych okoliczności powierzenia danych

1) Przekazanie danych odbywa się na Tak - nie zachodzi powierzenie, gdyż przetwarzanie jest

podstawie zgody osoby, której dane dotyczą realizowane w oparciu o zgodę. Należy przejść do sekcji III i wskazać

brak konieczności zawarcia umowy.

Nie - Należy przejść do kolejnego kroku

2) Czy przetwarzanie danych przez inny Tak - Należy zawrzeć umowę powierzenia. Należy przejść do

podmiot jest niezbędne do zrealizowania sekcji III i wskazać konieczność zawarcia umowy.

usługi? Nie - Jeżeli przetwarzanie danych nie jest niezbędne, należy

zrealizować usługę bez przetwarzania danych. W takim wypadku

umowa powierzenia nie jest niezbędna. Należy przejść do sekcji III

i wskazać brak konieczności zawarcia umowy.

III Podsumowanie

Wniosek z przeprowadzonej analizy Należy zawrzeć umowę powierzenia

Nie zachodzi konieczność zawierania umowy powierzenia

Anna Nowak osoby, która Anna Nowak

przeprowadziła analizę:

2023-10-27: 2023-10-27