Emilia
Dawidowicz
doktorantka,
Uniwersytet w
Białymstoku
Temat: umowa outsourcingu ABI
Witam,czy może ktoś od strony praktycznej mi podpowie:
Podpisując umowę na outsourcing ABI z Instytucja wyznaczane są osoby fiz, które ze strony firmy outsourcingowej pełnią rolę ABI.
Czy zatem potrzebna jest odrębna umowa powierzenia między Instytucja a firmą co do przetwarzania danych osobowych, czy można np. w paragrafie dotyczącym przedmiotu umowy zawrzeć zapis, iż np. na podstawie tej konkretnej Umowy outsourcingu Administrator Danych Osobowych powierza przetwarzanie danych osobowych, którego cel i zakres przedstawiony jest w załączniku Nr.1 do Umowy.( a załącznik już precyzuje zakres czynności w ramach usługi outsurcingu)?.
Paweł
Litwiński
adwokat, doktor nauk
prawnych, Barta
Litwiński
Kancelaria...
Temat: umowa outsourcingu ABI
Jeżeli ABI przetwarza dane osobowe, to trzeba zawrzeć na piśmie umowę powierzenia danych do przetwarzania. Podkreślam - jeżeli przetwarza. A jak ta umowa zostanie zawarta, to już jest kwestia drugorzędna: czy jako odrębna umowa, czy jako element innej umowy; obydwa rozwiązania są potencjalnie możliwe i prawidłowe.
Adam
Patkowski
Specjalista ds.
bezpieczeństwa
informacji
Temat: umowa outsourcingu ABI
Paweł Litwiński:
Jeżeli ABI przetwarza dane osobowe, to trzeba zawrzeć na piśmie umowę powierzenia danych do przetwarzania. Podkreślam - jeżeli przetwarza.
A dlaczego trzeba powierzyć, nie można upoważnić do przetwarzania?
Paweł
Litwiński
adwokat, doktor nauk
prawnych, Barta
Litwiński
Kancelaria...
Temat: umowa outsourcingu ABI
Bo outsourcerem jest osoba prawna, co zdaje się wynikać z zadanego pytania.
Adam
Patkowski
Specjalista ds.
bezpieczeństwa
informacji
Temat: umowa outsourcingu ABI
Paweł Litwiński:
Bo outsourcerem jest osoba prawna, co zdaje się wynikać z zadanego pytania.
Z zadanego pytanie zdaje się wynikać, że czynności będą wykonywać osoby fizyczne, czy nie można zapisać, że będą one upoważniane do przetwarzania danych osobowych przez administratora?
Paweł
Litwiński
adwokat, doktor nauk
prawnych, Barta
Litwiński
Kancelaria...
Temat: umowa outsourcingu ABI
Można, wszystko można. Tylko pytanie, czy prawidłowo?Jak napisałem w pierwszym poście, jeżeli ABI - którym, podkreślam, jest osoba prawna - będzie przetwarzał dane osobowe, to należy zawrzeć umowę powierzenia danych osobowych do przetwarzania z tą osobą prawną. Żadne upoważnienie tutaj nie pomoże.
Następnie trzeba nadać upoważnienia (osoba prawna raczej sama danych nie przetworzy) - dosyć powszechnie przyjmuje się, że każdy (administrator i procesor) nadaje upoważnienia w ramach własnej infrastruktury. Czyli zapewne będzie tak, że pracownik procesora wyznaczony do pełnienia roli ABI otrzyma upoważnienie od administratora danych i być może również od procesora, czyli od swojego pracodawcy.
Nie można poprzestać na samym upoważnieniu osoby pełniącej rolę ABI przez administratora danych. Dlaczego? Dlatego, że pomiędzy tą osobą, a administratorem danych, nie istnieje żaden stosunek prawny.
Adam
Patkowski
Specjalista ds.
bezpieczeństwa
informacji
Temat: umowa outsourcingu ABI
Paweł Litwiński:
Nie można poprzestać na samym upoważnieniu osoby pełniącej rolę ABI przez administratora danych. Dlaczego? Dlatego, że pomiędzy tą osobą, a administratorem danych, nie istnieje żaden stosunek prawny.
A czy zaistnieje stosunek prawny pomiędzy administratorem danych osobowych, a osobami fizycznymi wykonującymi zadania ABI (i administrator będzie mógł im wystawić upoważnienia) w momencie kiedy zostanie zawarta umowa powierzenia przetwarzania danych pomiędzy administratorem danych i osobą prawną zatrudniającą te osoby fizyczne?
Co w przypadku kiedy administrator danych wzywa serwisanta do popsutej drukarki, czy wtedy musi zawrzeć umowę powierzenia przetwarzania z firmą dla której pracuje serwisant? Czy nie wolno administratorowi dopuścić serwisanta do drukarki tylko na podstawie wydanego przez administratora danych upoważnienia?
Paweł
Litwiński
adwokat, doktor nauk
prawnych, Barta
Litwiński
Kancelaria...
Temat: umowa outsourcingu ABI
Adam Patkowski:
A czy zaistnieje stosunek prawny pomiędzy administratorem danych osobowych, a osobami fizycznymi wykonującymi zadania ABI (i administrator będzie mógł im wystawić upoważnienia) w momencie kiedy zostanie zawarta umowa powierzenia przetwarzania danych pomiędzy administratorem danych i osobą prawną zatrudniającą te osoby fizyczne?
ABI będący pracownikiem jest stroną stosunku pracy, a więc podlega pracodawcy. ABI będący pracownikiem podmiotu zewnętrznego podlega temu podmiotowi, a podmiot zewnętrzny jest związany umową powierzenia. A komu podlega ABI, który ma wyłącznie upoważnienie do przetwarzania danych? Kto mu może wydawać polecenia? Jak Pan opisze pozycję prawną takie "zawieszonego" ABI?
Co w przypadku kiedy administrator danych wzywa serwisanta do popsutej drukarki, czy wtedy musi zawrzeć umowę powierzenia przetwarzania z firmą dla której pracuje serwisant? Czy nie wolno administratorowi dopuścić serwisanta do drukarki tylko na podstawie wydanego przez administratora danych upoważnienia?
Wolno. Tylko jeżeli serwis obejmuje przetwarzanie danych osobowych, a stroną umowy o świadczenie usług serwisowych jest inny podmiotu (osoba prawna lub przedsiębiorca) to w grę wchodzi tylko umowa powierzenia.
Adam
Patkowski
Specjalista ds.
bezpieczeństwa
informacji
Temat: umowa outsourcingu ABI
Paweł Litwiński:
A komu podlega ABI, który ma wyłącznie upoważnienie do przetwarzania danych? Kto mu może wydawać polecenia? Jak Pan opisze pozycję prawną takie "zawieszonego" ABI?
Ale Emilia stwierdziła, że będzie umowa "na outsourcing ABI" i pytała czy będzie potrzebna dodatkowa umowa powierzenia. Czy w przypadku zawarcia umowy na outsourcing powstanie stosunek prawny umożliwiający wydanie upoważnienia, czy do tego potrzebna jest jeszcze dodatkowa umowa powierzenia?
Co w przypadku kiedy administrator danych wzywa serwisanta do popsutej drukarki, czy wtedy musi zawrzeć umowę powierzenia przetwarzania z firmą dla której pracuje serwisant? Czy nie wolno administratorowi dopuścić serwisanta do drukarki tylko na podstawie wydanego przez administratora danych upoważnienia?
Wolno. Tylko jeżeli serwis obejmuje przetwarzanie danych osobowych, a stroną umowy o świadczenie usług serwisowych jest inny podmiotu (osoba prawna lub przedsiębiorca) to w grę wchodzi tylko umowa powierzenia.
Ale co jeśli nie ma żadnej umowy na kompleksowe utrzymanie sprzętu biurowego, administrator kupił drukarkę, popsuła się, wybiera numer telefonu z książki telefonicznej i doraźnie zamawia usługę naprawy. Okazuje się, że w drukarce utknęły kartki z danymi osobowymi, które serwisant będzie musiał wydobyć (tutaj można podstawić dowolny przykład gdzie serwisant będzie musiał przetworzyć dane osobowe). Czy w takim przypadku administrator może upoważnić do przetwarzania danych serwisanta bo zawarł telefonicznie umowę na wykonanie usługi serwisowej z pracodawcą serwisanta czy musi dodatkowo zawrzeć umowę powierzenia z pracodawcą serwisanta?
Paweł
Litwiński
adwokat, doktor nauk
prawnych, Barta
Litwiński
Kancelaria...
Temat: umowa outsourcingu ABI
Adam Patkowski:
Ale Emilia stwierdziła, że będzie umowa "na outsourcing ABI" i pytała czy będzie potrzebna dodatkowa umowa powierzenia. Czy w przypadku zawarcia umowy na outsourcing powstanie stosunek prawny umożliwiający wydanie upoważnienia, czy do tego potrzebna jest jeszcze dodatkowa umowa powierzenia?
I odpowiedziałem.
Ale co jeśli nie ma żadnej umowy na kompleksowe utrzymanie sprzętu biurowego, administrator kupił drukarkę, popsuła się, wybiera numer telefonu z książki telefonicznej i doraźnie zamawia usługę naprawy. Okazuje się, że w drukarce utknęły kartki z danymi osobowymi, które serwisant będzie musiał wydobyć (tutaj można podstawić dowolny przykład gdzie serwisant będzie musiał przetworzyć dane osobowe). Czy w takim przypadku administrator może upoważnić do przetwarzania danych serwisanta bo zawarł telefonicznie umowę na wykonanie usługi serwisowej z pracodawcą serwisanta czy musi dodatkowo zawrzeć umowę powierzenia z pracodawcą serwisanta?
Telefonicznie? Powierzenie danych do przetwarzania? Sam Pan sobie odpowiedział, pisząc w pytaniu
(tutaj można podstawić dowolny przykład gdzie serwisant będzie musiał przetworzyć dane osobowe).
Ze swej strony temat wyczerpałem.
Adam
Patkowski
Specjalista ds.
bezpieczeństwa
informacji
Temat: umowa outsourcingu ABI
Paweł Litwiński:
Adam Patkowski:
Ale Emilia stwierdziła, że będzie umowa "na outsourcing ABI" i pytała czy będzie potrzebna dodatkowa umowa powierzenia. Czy w przypadku zawarcia umowy na outsourcing powstanie stosunek prawny umożliwiający wydanie upoważnienia, czy do tego potrzebna jest jeszcze dodatkowa umowa powierzenia?
I odpowiedziałem.
I z tego co Pan odpowiedział wynika, że uważa Pan, że umowa "na outsourcing" nie spowoduje zaistnienia stosunku prawnego między pracownikami outsourcera, a administratorem danych i nie będą mogli zostać upoważnieni do przetwarzania przez administratora, natomiast umowa powierzenia spowoduje zaistnienie stosunku prawnego i administrator będzie mógł upoważnić pracowników, wtedy już procesora. Chciałem tylko się dowiedzieć skąd to rozróżnienie?
Leszek
K.
Menedżer ds.
Bezpieczeństwa
Informacji (CISO,
ITSO, BCM, ...
Temat: umowa outsourcingu ABI
Adam Patkowski:
Ale co jeśli nie ma żadnej umowy na kompleksowe utrzymanie sprzętu biurowego, administrator kupił drukarkę, popsuła się, wybiera numer telefonu z książki telefonicznej i doraźnie zamawia usługę naprawy. Okazuje się, że w drukarce utknęły kartki z danymi osobowymi, które serwisant będzie musiał wydobyć (tutaj można podstawić dowolny przykład gdzie serwisant będzie musiał przetworzyć dane osobowe). Czy w takim przypadku administrator może upoważnić do przetwarzania danych serwisanta bo zawarł telefonicznie umowę na wykonanie usługi serwisowej z pracodawcą serwisanta czy musi dodatkowo zawrzeć umowę powierzenia z pracodawcą serwisanta?
Ja proponuję odwołać się do ustawy i sprawdzić pojęcie przetwarzanie danych osobowych, a następnie odpowiedzieć sobie na pytanie - czy serwisant będzie przetwarzał dane osobowe (dokonywał na nich operacji) i czy w ogóle celem tego zlecenia jest przetwarzanie danych osobowych. W moim przekonaniu możliwość (ale brak uprawnienia) dostępu do danych osobowych nie powinna być kojarzona z intencją powierzenia przetwarzania danych (z delegacją uprawnienia). W takim przypadku (możliwość niechcący zapoznania się z danymi osobowymi przy okazji wykonywania zlecenia, którego intencją nie są operacje na danych) należy zawrzeć umowę o zachowaniu poufności.
I tak przy okazji - do wydania upoważnienia nie musi być "stosunek prawny"? Upoważnić do przetwarzania danych można każdego (o ile jest to osoba fizyczną - w przeciwnym razie powierzenie).Leszek K. edytował(a) ten post dnia 31.01.12 o godzinie 16:24
Filip
Turyk
właściciel, Idcon
ochrona danych
osobowych
Temat: umowa outsourcingu ABI
Raczej Panu Pawłowi chodzi o to, że samo upoważnienie niewiele wnosi do struktury przetwarzania danych. Przychodzi ktoś z ulicy i mówi chciałbym miec dostęp do waszej bazy danych. No to ok proszę bardzo tutaj jest upoważnienie w zakresie dostęp do bazy. I w zasadzie sprawa jasna. Wszystko zgodnie z przepisami. Jeśli ta osoba ma jednak wykonywać funkcję ABI to z samego upoważnienia to nie wyniknie. Trzeba tą osobę jakoś umocować w danym podmiocie czy też inaczej mówiąc "powiązać" z podmiotem. Analizując głębiej może być to związane z przetwarzaniem danych osobowych lub nie. Przy dobrze zorganizowanym podmiocie można pracę ABI tak zorganzować żeby nie miał on żadnej styczności z konkretnymi informacjami o osobach fizycznych. Wystarczą sposoby zabezpieczeń, wzory umów itp. Ale jak napisałem nie musi tak być. Ciekawą kwestią jest dla mnie wogóle konieczność upowazniania ABI W końcu z racji pełnionej funkcji jest niejako z góry upoważniony do przetwarzania danych. Wynika to z definicji "nadzoru" czyli kontroli z mozliwością wpłyniecia na stan rzeczywisty. Podobnie jak zarząd. Pytanie czy zarząd powinien być w edwidencji osób upowaznionych jest świetnym zgadnieniem do otwarcia przewodu doktorskiego :-)Oferty pracy
-
Specjalista ds. Płac Activ Investment Sp. z o.o.
-
Strategic Buyer Mondi Polska Agencja Pracy
-
Inżynier – Tłumaczenie Maszynowe Samsung Poland R&D
Podobne tematy
-
Umowa outsourcing ABI
13 odpowiedzi -
Gdzie szkolenie dla ABI (dr. T. Sybiga)
-
VII Internetowe Spotkanie ABI
9 odpowiedzi -
Odpowiedzialność ABI czy ADO
55 odpowiedzi -
VI Internetowe Spotkanie ABI
20 odpowiedzi -
Czy ABI to DPO?
6 odpowiedzi -
Pytanie o ABI w spółdzielni mieszkaniowej
8 odpowiedzi -
Obowiązek wyznaczenia ABI
24 odpowiedzi -
Dostałem pracę jako ABI
12 odpowiedzi -
Sposób na "trwałą" reprezentację ADO przez ABI przed GIODO
5 odpowiedzi
Następna dyskusja:
