Temat: Jednoosobowa działalność gospodarcza a...

Dzień dobry,
Mam pytanie w temacie powierzenia przetwarzania danych osobowych:
Czy jest zgodne z ustawą o ochronie danych osobowych wyłącznie nadanie upoważnienia do przetwarzania danych osobowych i wręczenie do podpisu oświadczenia o zachowaniu poufności danych osobowych dla kontraktora, bez podpisywania z nim umowy powierzenia lub podpowierzenia?

Świadczymy usługi IT dla naszych klientów m.in. w formie outsourcingu specjalistów - kontraktorzy prowadzą jednoosobową działalność gospodarczą, nie zatrudniają pracowników. Co ważne, mają nasz firmowy sprzęt, świadczą usługi wyłącznie w siedzibie klientów (opcjonalnie praca zdalna), a w umowach z naszą firmą mają wpisane klauzule o poufności. Charakter, zakres usług w zawartych umowach z kontraktorami jest identyczny z obowiązkami naszych pracowników etatowych świadczących podobne usługi.
Wymogi związane z umową powierzenia/podpowierzenia (art. 36 - 39a) zapewniamy na poziomie całej firmy, czyli upoważnienia, oświadczenia, ewidencję upoważnionych oraz zabezpieczenia techniczne i organizacyjne wymagane przez tzw. rozporządzenie dokumentacyjne wydane na podstawie art. 39a ustawy.

Poniżej link do ciekawego artykułu na powyższy pt. "Upoważnienie czy powierzenie?":
http://blog.e-odo.pl/tag/powierzenie-przetwarzania-dan...

Z góry bardzo dziękuję za wszelkie opinie.

Temat: Jednoosobowa działalność gospodarcza a...

Krystian F.:
Świadczymy usługi IT dla naszych klientów m.in. w formie outsourcingu specjalistów - kontraktorzy prowadzą jednoosobową działalność gospodarczą, nie zatrudniają pracowników.

Kto odpowiada prawnie za działania takiej osoby?

Co ważne, mają nasz firmowy sprzęt, świadczą usługi wyłącznie w siedzibie klientów

Jakie dane znajdą się na tym "sprzęcie"? Jaka jest istota świadczonej usługi? Jakie czynności przetwarzania wykonują specjaliści?

opcjonalnie praca zdalna

Gdzie są zapisywane dane?
Kto odpowiada za zabezpieczenie miejsca, z którego następuje dostęp do danych?

Temat: Jednoosobowa działalność gospodarcza a...

Paweł G.:

Krystian F.:
Świadczymy usługi IT dla naszych klientów m.in. w formie outsourcingu specjalistów - kontraktorzy prowadzą jednoosobową działalność gospodarczą, nie zatrudniają pracowników.

Kto odpowiada prawnie za działania takiej osoby?

Co ważne, mają nasz firmowy sprzęt, świadczą usługi wyłącznie w siedzibie klientów

Jakie dane znajdą się na tym "sprzęcie"? Jaka jest istota świadczonej usługi? Jakie czynności przetwarzania wykonują specjaliści?

opcjonalnie praca zdalna

Gdzie są zapisywane dane?
Kto odpowiada za zabezpieczenie miejsca, z którego następuje dostęp do danych?
Dostęp zdalny może być z mieszkania kontraktora lub biura naszej firmy, przez VPN klienta. Zabezpieczenie miejsca zdalnego dostępu należy do kontraktora. Dane nie są zapisywane na dysku lokalnym.

W umowach z klientami bierzemy na siebie pełną odpowiedzialność.

Istotą usługi jest wsparcie klientów we wszelkich projektach - dostarczamy obecnych lub rekrutujemy nowego specjalistę/ów po zgłoszeniu zapotrzebowania od klienta. Zakres danych: mogą to być dane osobowe, informacje stanowiące tajemnicę przedsiębiorstwa, inne informacje w zależności od branży klienta. Co do zakresu operacji na danych osobowych, ciężko mi powiedzieć. Najczęściej to przenoszenie między aplikacjami, gromadzenie w aplikacjach, serwerach. Laptop firmowy służy do dostępu do sieci lokalnej, serwerów i aplikacji klienta i wykonywania pracy wyłącznie w intranecie, dane nie są przechowywane na dyskach lokalnych naszych laptopów.

Dostęp zdalny może być z mieszkania kontraktora lub biura naszej firmy, przez VPN klienta. Zabezpieczenie miejsca zdalnego dostępu należy do kontraktora. Dane nie są zapisywane na dysku lokalnym.

Dodam, że jeden z naszych klientów zgodził się na proponowane rozwiązanie: zawarta umowa powierzenia, gdzie my jesteśmy Wykonawcą-procesorem, a kontraktorzy na jednoosobowej działalności mają upoważnienia i podpisali oświadczenia o poufności (tak samo traktowani jak pracownicy etatowi).Ten post został edytowany przez Autora dnia 20.04.17 o godzinie 13:46

Temat: Jednoosobowa działalność gospodarcza a...

Krystian F.:

Dostęp zdalny może być z mieszkania kontraktora lub biura naszej firmy, przez VPN klienta. Zabezpieczenie miejsca zdalnego dostępu należy do kontraktora. Dane nie są zapisywane na dysku lokalnym.

W umowach z klientami bierzemy na siebie pełną odpowiedzialność.

Jak dla mnie dane są powierzane do przetwarzania waszej firmie. Wasz specjalista nie jest żadnym partnerem biznesowym dla waszych klientów (administratorów danych) - chociaż wasi klienci powinni kontrolować te wasze z kontraktorami relacje, stawiając wymagania związane z zapisami umów, jakie zawieracie z kontraktorami, i nadzorując ich praktyczną realizację.

Skoro dostęp zdalny z mieszkania kontraktora - to ryzyka krytyczne dla ochrony danych osobowych i tajemnicy przedsiębiorstwa waszych klientów. W razie wycieku danych, ich zniszczenia, uszkodzenia, niedozwolonej modyfikacji na skutek umyślnego lub nieumyślnego (tak, tak!) działania lub zaniechania waszego kontraktora, wasi klienci puszczą was w skarpetkach.

Problem, z jakim tu przyszedłeś, jest źle postawiony. Dla was to nie jest prosta sprawa techniczno-organizacyjna), ale brak profesjonalnej całościowej strategii ciągłego zapewniania bezpieczeństwa danych (i nie mam na myśli dokumentów, które pewnie jakieś tam macie), gdzie rozpisane byłyby procesy przetwarzania, jakie realizujecie, i opracowane procedury zapewnienia dla i u klienta podstawowych atrybutów informacji (poufności, integralności, dostępności) na każdym etapie przetwarzania, także w mieszkaniu kontraktora.

dane nie są przechowywane na dyskach lokalnych naszych laptopów.

Po pierwsze bym to w sposób udokumentowany sprawdził (np. kopie awaryjne), po drugie nie ma to większego znaczenia w opisanym modelu przetwarzania. Ryzyka krytyczne i tak istnieją.

Dodam, że jeden z naszych klientów zgodził się na proponowane rozwiązanie: zawarta umowa powierzenia, gdzie my jesteśmy Wykonawcą-procesorem, a kontraktorzy na jednoosobowej działalności mają upoważnienia i podpisali oświadczenia o poufności (tak samo traktowani jak pracownicy etatowi).

Wasz klient ma bardzo niską świadomość istniejących zagrożeń, skoro przystał na to, żeby ochronę danych w opisanych okolicznościach sprowadzić do drobnej kwestii organizacyjnej.

Przykładowe zagrożenia:
1. Kontraktor w zakresie ochrony danych nie wie (nie został skutecznie poinformowany i przeszkolony) , co mu wolno, czego nie.
2. Kontraktor wąski specjalista z tendencją do lekceważenia procedur ochrony danych i nierozumiejący celu wprowadzanych zabezpieczeń organizacyjnych (techniczne rozumie).
3. Kontraktor sprowadzający wymogi ochrony danych do kwestii informatycznych.
4. Kontraktor będzie wykonywać nieautoryzowane kopie awaryjne danych osobowych na nośniki pozostające poza kontrolą zarówno administratora danych, jak i poza kontrolą waszej firmy.
5. Kontraktor będzie dokonywać nieautoryzowanych transmisji danych we własnych celach przetwarzania.
6. Umowa z kontraktorem będzie zawierać luki, uniemożliwiające pociągnięcie go do odpowiedzialności karnej lub cywilnej za naruszenia ochrony danych.
7. Kontraktor będzie samodzielnie decydować o środkach przetwarzania danych.
8. Kontraktor po zakończeniu umowy nadal będzie mieć możliwość dostępu do systemu klienta.

Nie jesteście dzisiaj moim zdaniem przygotowani na zmierzenie się z tymi zagrożeniami. Nie skupiacie się na istocie ochrony danych.

Upoważnienie, powierzenia to drobne problemy organizacyjne - firma najpierw musi rozumieć, czemu ma to służyć i co to ma administratorowi danych (klient) oraz procesorowi (to wy) załatwić.

Potrzebny wam strateg, który rozumie procesy przetwarzania danych oraz istotę ich ochrony. Inaczej po wejściu RODO polegniecie boleśnie.

Temat: Jednoosobowa działalność gospodarcza a...

Pełna zgoda, w relacji klient - My - kontraktor
kontraktor jest naszym podwykonawcą wspomagającym Nas w realizacji umowy z klientem.
Jednak nie widzę powodu, aby kontraktor nie mógł być upoważniony przez nas do przetwarzania danych osobowych w sytuacji, gdy mamy z klientem zawartą umowę powierzenia, gdzie jesteśmy procesorem i obowiązki z nią związane realizujemy na poziomie całej firmy.
Dlaczego tak uważam?
- Kontraktor w umowie z Nami jest zobowiązany do zachowania poufności wszelkich informacji, w tym danych osobowych, że musi przestrzegać obowiązujących przepisów prawa i procedur wewnętrznych (w tym Politykę Bezpieczeństwa czy Instrukcję Zarządzania), podpisuje oświadczenie o zachowaniu poufności (spełnienie zgodności z art. 39 ust. 2 ustawy odo), jest szkolony z zasad bezpieczeństwa. Jeśli dojdzie do wycieku danych czy innego naruszenia, z winy kontraktora: sprawa jest prosta - ponosi odpowiedzialność za naruszenie umowy z Nami oraz odpowiedzialność karną lub cywilną; oczywiście poniesiemy odpowiedzialność wobec klienta czy karną z rozdziału 8 ustawy odo itd.-jasne. Jest to wliczone w ryzyko prowadzenia biznesu.
- Sprzęt, z którego korzysta, jest tylko nasz. Wszelkie zabezpieczenia sprzętu jak hasła, kopie zapasowe, nadanie uprawnień do poszczególnych aplikacji itp. wykonuje nasz dział IT.
- Kontraktor świadczy usługi dla klienta tylko w jego siedzibie (opisane wcześniej mieszkanie czy nasze biuro - rzadkość, wynika to ze wzorów umów z klientami; zapisy te udaje się Nam zmienić tak że usługi są świadczone tylko w siedzibie klienta). Dane klienta nie znajdują się w ogóle w naszych aplikacjach, serwerach czy dyskach lokalnych lub sieciowych.
Co istotne, to klient zapewnia sprzęt kontraktorom (mój błąd, że nie wskazałem na początku). Wobec tego My odpowiadamy przed klientem za ciągłe i systematyczne budowanie świadomości konieczności zapewnienia bezpieczeństwa informacji dla jakiegokolwiek działania na informacjach, ale za bezpieczeństwo danych, postępowanie z nimi, dostęp do aplikacji należy do klienta, który przed rozpoczęciem świadczenia usługi przedstawia procedury bezpieczeństwa.
- Upoważnienie jest środkiem organizacyjnym zabezpieczenia danych osobowych w relacji pracodawca - pracownik, zleceniodawca - zleceniobiorca(kontraktor osobiście prowadzący działalność gospodarczą, bez zatrudniania pracowników). Umowa podpowierzenia narzuciłaby zbędne obowiązki z rozdziału 5 ustawy odo naszym kontraktorom, w sytuacji gdy całość zapewniania bezpieczeństwa danych osobowych realizujemy na poziomie całej firmy, a przy outsourcingu specjalistów to klient zapewnia bezpieczeństwo.
Oczywiście powyższe dotyczy modelu współpracy, czyli outsourcingu specjalistów do klientów.

Inne nasze usługi jak utrzymanie aplikacji czy usługi service desk, które świadczymy u nas w siedzibie, na naszym komputerach, to bezwzględnie wymagają umowy powierzenia (My-klient) czy podpowierzenia (My-kontraktor), nie mam wątpliwości.

Temat: Jednoosobowa działalność gospodarcza a...

Krystian F.:
Jednak nie widzę powodu, aby kontraktor nie mógł być upoważniony przez nas do przetwarzania danych osobowych w sytuacji, gdy mamy z klientem zawartą umowę powierzenia, gdzie jesteśmy procesorem i obowiązki z nią związane realizujemy na poziomie całej firmy.

To zależy od treści umowy, treści upoważnienia - no i od tego, jak rzeczywiście przebiega proces. Nie do rozstrzygnięcia na forum.

- Kontraktor w umowie z Nami jest zobowiązany do zachowania poufności wszelkich informacji, w tym danych osobowych, że musi przestrzegać obowiązujących przepisów prawa i procedur wewnętrznych (w tym Politykę Bezpieczeństwa czy Instrukcję Zarządzania), podpisuje oświadczenie o zachowaniu poufności

Papier wszystko przyjmie. Problem jest zawsze w rzeczywistej realizacji tych zapisów oraz w sposobie sprawowania nadzoru. Czy kontraktor otrzymuje kopię Polityki i Instrukcji? Czy rozumie treść? Jak jest kontrolowany i rozliczany z przestrzegania?

Jeśli dojdzie do wycieku danych czy innego naruszenia, z winy kontraktora: sprawa jest prosta -

Czy prosta, to zależy od treści umowy.

- Sprzęt, z którego korzysta, jest tylko nasz. Wszelkie zabezpieczenia sprzętu jak hasła, kopie zapasowe, nadanie uprawnień do poszczególnych aplikacji itp. wykonuje nasz dział IT.

Należy zbadać, czy:
a/ kontraktor w praktyce może umożliwić - umyślnie lub nieumyślnie - dostęp do danych klienta osobom nieupoważnionym;
b/ kontraktor w praktyce może umożliwić - umyślnie lub nieumyślnie - zniszczenie danych klienta, ich utratę, zabranie, nieuprawnioną modyfikację;
c/ jakie to aplikacje? czy nie posiadają funkcjonalności, które powodowałyby, że wasza firma zaczyna realizować wobec tych danych własne cele przetwarzania.

- Kontraktor świadczy usługi dla klienta tylko w jego siedzibie (opisane wcześniej mieszkanie czy nasze biuro - rzadkość

Niemniej jednak należy to uwzględnić w analizie ryzyka i wdrożyć odpowiednie zabezpieczenia.

Dane klienta nie znajdują się w ogóle w naszych aplikacjach, serwerach czy dyskach lokalnych lub sieciowych.

Niemniej jednak wasz kontraktor ma możliwość udostępnienia tych danych osobom nieupoważnionym, ich zniszczenia, zabrania, nieuprawnionej modyfikacji.

Co istotne, to klient zapewnia sprzęt kontraktorom (mój błąd, że nie wskazałem na początku). Wobec tego My odpowiadamy przed klientem za ciągłe i systematyczne budowanie świadomości konieczności zapewnienia bezpieczeństwa informacji dla jakiegokolwiek działania na informacjach, ale za bezpieczeństwo danych, postępowanie z nimi, dostęp do aplikacji należy do klienta, który przed rozpoczęciem świadczenia usługi przedstawia procedury bezpieczeństwa.

Ten opis jest dla mnie niezrozumiały bez znajomości waszych realiów. Nie do rozstrzygnięcia na forum, co tam się rzeczywiście dzieje, kto za co odpowiada i gdzie są podatności.

Temat: Jednoosobowa działalność gospodarcza a...

Z pewnością trudno jednoznacznie rozstrzygnąć jak rozwiązać poruszony problem.
Może inni wyrażą swoją opinię jak to widzą ;)

Bardzo dziękuję Panie Pawle za wszystkie komentarze i uwagi :)

Temat: Jednoosobowa działalność gospodarcza a...

Dodam jeszcze, że ja poprosiłbym o opinię cywilistę. Co jest tu istotą? Oprócz umocowania kontraktora do przetwarzania danych w imieniu firmy jest to możliwość przeniesienia nań odpowiedzialności cywilnoprawnej, tj. skuteczne nałożenie obowiązku zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Czy forma upoważnienia do przetwarzania danych osobowych wystarczy do osiągnięcia tego celu? Z takim właśnie pytaniem poszedłbym do działu prawnego.

Temat: Jednoosobowa działalność gospodarcza a...

Pomimo obowiązywania jeszcze uodo, warto sięgnąć po RODO. Wczytać się z art. 28, zwłaszcza ust. 4 "Jeśli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają (...)te same obowiązki ochrony danych jak w umowie (...) między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust.3."
Ustęp 3 art. 28 jest bardzo rozbudowany, odsyła do innych artykułów.

Przypadek jaki Krystianie podałeś, książkowo pasuje do cytowanego przepisu.

ps.
To działanie zgodnie z przepisem RODO nie naruszy uodo.

O wadach obecnego rozwiązania nie będę się rozpisywał. Jest ich trochę. Wszystko zależy od tego jak skrupulatnie ktoś podchodzi do sprawy ochrony danych osobowych. Nie mniej warto wiedzieć, że od maja przyszłego roku (a to wbrew przekonaniu już niebawem) będzie działać w pełnej krasie art. 79 i 82 RODO

Temat: Jednoosobowa działalność gospodarcza a...

Problem, z którym przyszedłem, wynika z próby znalezienia rozwiązania zachowania zgodności:
1) z przepisami uodo,
2) z przepisami RODO,
z uwzględnieniem działalności firmy IT, w której pracuję i zajmuję się m.in. ochroną danych osobowych.
Firma świadczy usługi IT w 4 modelach współpracy:
1) outsourcing specjalistów,
2) Team Leasing,
3) projekty i integracja systemów,
4) usługi zarządzane,
w których zawsze występujemy jako Wykonawcy, co w kontekście ochrony informacji, w tym danych osobowych, dochodzi do powierzenia przetwarzania informacji przez klientów na czas realizacji usługi.
Firma zatrudnia lub nawiązała współpracę z ponad 2500 osób. Z tej liczby ponad 500 jest kontraktorami na jednoosobowej działalności, nie zatrudniających swoich pracowników, posiadających nasze firmowe laptopy.

Przedmiotem problemu są pierwsze dwa ww. modele. Oba przewidują dostarczenie zespołu lub pojedynczych specjalistów do klientów, którzy w siedzibach klientów świadczą usługi IT. Ludzie lub całe zespoły mogą zmieniać się w trakcie oferowania usługi, co wymusza zmiany w zapisach o poufności i bezpieczeństwie danych, a przy kilkuset kontraktorach jest sporym wyzwaniem.

Przepis art. 28 ust. 4 rzeczywiście odnosi się do obowiązków, identycznych jak dla wykonawców (procesorów), adresowanych do podwykonawców (podprocesorów). Jednakże ust.1 wyraźnie wskazuje, że podmiot przetwarzający (procesor) "(...)zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą". Identycznie jest wobec innego podmiotu przetwarzającego (podprocesora) w ust. 4 "(...) obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych(...)".
Odpowiednie środki są ogólnie określone w art. 32, który wskazuje podstawowe atrybuty ochrony danych osobowych (są identyczne jak atrybuty bezpieczeństwa informacji opisane w ISO 27000 i 27001), a które są wdrożone stosownie do ocenionego ryzyka (art. 32 ust. 2). Z pewnością współpraca z kontraktorami będzie objęta szacowaniem ryzykiem.
Co więcej, art. 32 ust. 4 wskazuje na konieczność nadawania upoważnień OSOBOM FIZYCZNYM, co jeszcze bardziej, w mojej ocenie, wyjaśnia, jakie osoby mogą być upoważnione, czyli osoby fizyczne prowadzące działalność gospodarczą również mogą być objęte. Przynajmniej tak to oceniam.

W ww. modelach współpracy bardziej praktyczne i efektywne jest zastosowanie upoważnień dla kontraktorów jako organizacyjnego środka zapewnienia bezpieczeństwa aniżeli umowy podpowierzenia, z racji szybszej aktualizacji i tworzenia nowych upoważnień (oczywiście należy najpierw przeszkolić kontraktora i odebrać podpisane oświadczenie o poufności :) ).
Nie wyobrażam sobie, aby dla każdego kontraktora tworzyć odrębną dokumentację, dbać o jej aktualizację (nawet jeśli dokumentacja może mieć 5 stron ala regulamin ochrony danych :) ), w sytuacji gdy jest opcja, aby nadać upoważnienie wraz z oświadczeniem o poufności zawierającego obowiązek zapewnienia bezpieczeństwa danych osobowych i zapisy o poniesienie odpowiedzialności za naruszenia przepisów RODO i wewnętrznych procedur. Tym bardziej, że w umowach z kontraktorami zawieramy klauzule poufności z podkreśleniem odpowiedzialności karnej i cywilnej za naruszenia poufności.

Oczywiście poruszone zagadnienie jest jednym z elementów skutecznej ochrony danych, bez pomijania innych istotnych elementów jak obowiązki informacyjne, zgody itp.
Jednakże, w mojej ocenie, pozwoli zapewnić zgodność z RODO, obecnie z uodo, zarazem uwzględni naszą działalność biznesową.

Temat: Jednoosobowa działalność gospodarcza a...

Krystian F.:
Problem, z którym przyszedłem, wynika z próby znalezienia rozwiązania zachowania zgodności:
1) z przepisami uodo,
2) z przepisami RODO,

Problem jest w sumie dość prosty. Należy znaleźć odpowiedzi na pytania.

z uwzględnieniem działalności firmy IT, w której pracuję i zajmuję się m.in. ochroną danych osobowych.

Poza dyskusją jest, że Wasza firma jest podmiotem przetwarzającym

Firma świadczy usługi IT w 4 modelach współpracy:
1) outsourcing specjalistów,
2) Team Leasing,
3) projekty i integracja systemów,
4) usługi zarządzane,

Czy osoby każdego z modeli wchodzą w skład firmy? (jeśli tak, to upoważnienie)
jeśli nie - to należy traktować jako odrębne podmioty (bez znaczenia jest ich forma organizacyjna)
Dalsze postępowanie jest uzależnione od odpowiedzi na postawione pytania.

W ww. modelach współpracy bardziej praktyczne i efektywne jest

a czy zgodne z prawem ?

zapisy o poniesienie odpowiedzialności za naruszenia przepisów RODO

zapomniałeś o art.31.4. uodo oraz 28.10., 82, 83, 84 RODO

Temat: Jednoosobowa działalność gospodarcza a...

Tak, nasi kontraktorzy wchodzą w skład firmy. W każdym przypadku jest sytuacja, gdy pracownik na umowie o pracę zamienia formę współpracy na jednoosobową działalność gospodarczą lub działalność na etat.

Oczywiście mam świadomość przepisów, które zostały wymienione.

W upoważnieniach, związanych z realizacją umów powierzenia, zawieram cel nadania upoważnienia i jego zakres, tak dostępu do zbiorów danych jak i zakres działań wykonywanych na zbiorach. Dołączam do upoważnień podpisane oświadczenia o zachowaniu poufności.

Bardzo liczę na to, że opisane przeze mnie rozwiązanie będzie zgodne z przepisami tak uodo jak i RODO :)

Bardzo dziękuję Panie Radosławie za cenne uwagi :)

Temat: Jednoosobowa działalność gospodarcza a...

My dla naszych klientów proponowaliśmy, aby zawsze dla osób z JDG podpisywać umowę powierzenia zgodną z zakresem świadczonych usług.

Jednocześnie, w sytuacjach, w których kilku podwykonawców funkcjonowało w ramach podmiotu praktycznie w taki sam sposób jak pracownicy - praca wykonywana wyłącznie na sprzęcie i oprogramowaniu klienta, świadczona we wskazanym obszarze przetwarzania nadawaliśmy takim pracownikom upoważnienia i zarządzaliśmy nimi jak pracownikami.

Temat: Jednoosobowa działalność gospodarcza a...

Krystian F.:
Co więcej, art. 32 ust. 4 wskazuje na konieczność nadawania upoważnień OSOBOM FIZYCZNYM

Brzmienie przepisu jest nieco inne. Nie ma mowy o nadawaniu upoważnień. Mowa o działaniu "na polecenie".

Gdybym był Waszym klientem, to i tak dla pewności zastrzegłbym sobie prawo samodzielnego nadawania upoważnień Waszym podwykonawcom, samodzielnego ich szkolenia z moich polityk ochrony informacji, a także samodzielnie odbierałbym od nich oświadczenia dot. ochrony danych osobowych i tajemnicy mojego przedsiębiorstwa. Dałbym im też do podpisu wykaz czynności przetwarzania, na jakie nie zezwalam i na jakie zezwalam tylko po uprzednich konsultacjach z moim administratorem bezpieczeństwa informacji.

Tak mi wychodzi z analizy ryzyka :)

Temat: Jednoosobowa działalność gospodarcza a...

Krystian F.:
Tak, nasi kontraktorzy wchodzą w skład firmy. W każdym przypadku jest sytuacja, gdy pracownik na umowie o pracę zamienia formę współpracy na jednoosobową działalność gospodarczą lub działalność na etat.

Co miałeś na myśli używając zwrotu "działalność na etat" ?

Bardzo liczę na to, że opisane przeze mnie rozwiązanie będzie zgodne z przepisami tak uodo jak i RODO :)

Na podstawie tego co dotychczas napisałeś, to moim zdaniem, rozwiązania są sprzeczne i będą.
W relacji Klient-Wy-podwykonawca (możesz nazywać dowolnie nawet kontraktor)
każdy z tych podmiotów ma określone prawem obowiązki.
Każdy z nich winien mieć własną dokumentację z zakresu odo. Klient ma, zgodnie z przepisami, prawo kontrolować w tym zakresie, nie tylko Was ale i podwykonawców. To Klient może uznać działania za nieprawidłowości lub je akceptować.
A to czy wasz model biznesowy jest właściwy zweryfikuje ew. wyrok lub decyzja organu.

Bardzo dziękuję Panie Radosławie za cenne uwagi :)

Bardzo proszę.
ps.
Na tym forum zwracamy się po imieniu.

Temat: Jednoosobowa działalność gospodarcza a...

Źle wyraziłem się.
Mamy sytuację, gdy kontraktor decyduje się w pewnym momencie zmienić formę współpracy: z działalności gospodarczej na umowę o pracę (staje się pracownikiem) lub odwrotnie: pracownik z umowy o pracę zmieni formę współpracy na działalność gospodarczą.

Temat: Jednoosobowa działalność gospodarcza a...

W każdej sytuacji dochodzi do zmiany prawnej. Twoja firma ma obowiązek uwzględnić ją w swoim i postępowaniu i dokumentacji.
Odejście pracownika z firmy, z automatu, wygasza jego upoważnienia do przetwarzania danych osobowych. Jeśli zamierza przetwarzać jako firma, to ma obowiązek zawrzeć stosowną umowę i ją wypełniać.
Trochę inaczej ma się z jednoosobową firmą, której właściciel przyszedł na etat. Tu jego upoważnienia nie wygasają, nadal może przetwarzać ale ... tylko jako firma. Nie ma upoważnienia do przetwarzania jako pracownik.

Podsumowując - nie ma możliwości przenoszenia poprzedniego upoważnienia do nowej sytuacji prawnej.