GoldenLine
Zaloguj się
Katarzyna K.

Katarzyna K. Radca Prawny

Temat: powierzenie przetwarzania danych

Witam,

czy w Państwa ocenie sytuacja, w której spółka XYZ ma zawartą umowę na ochronę zakłądu pracy (firma ochroniarska zapewnia kilku ochroniarzy, którzy mają swój budynek przy wjeździe do firmy i do ich zadań należy m.i.n prowadzenie księgi wejść i wyjść, mają dostęp do monitoringu- jedynie na bieżąco, nie mają podglądu wstecz) wymaga zwarcia umowy o powierzenie przetwarzania? Dodam, że wszystkie dane osobowe zgromadzone w ramach pełnienia obowiązków przez ochroniarzy są gromadzone na sprzęcie firmy XYZ
Link do wypowiedziLink
Paulina S.

Paulina S. Inspektor ochrony
danych

Temat: powierzenie przetwarzania danych

Ale księga wejść/wyjść zawiera dane osobowe?
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: powierzenie przetwarzania danych

A odpowiedź wcale nie jest taka prosta proszę pani Mecenas.. ;-)

Po pierwsze - pracownicy ochrony mają własne zadania i uprawnienia z zakresu ochrony osób i mienia. Katalog tychże uprawnień znajduje się w art 36 Ustawy o ochronie osób i mienia. jednym z nich jest ustalenie uprawnienia do przebywania na terenie chronionego obiektu. To tak co do podstawy prawnej przetwarzania.

Po drugie w trakcie tychże czynności, każdy z nich (nawet niekwalifikowany) ma tez prawo do legitymowania. Uprawnienie wynika również z rzeczonego art 36 UOOIM, przy czym do tych czynności wydane zostało rozporządzenie, które wprost określa jak wykonać zarówno ustalenie uprawnienia do przebywania na terenie (czego materializacją jest wpis do książki) jak i legitymowanie. Z czynności LEGITYMOWANIA pracownik ochrony ZAWSZE powinien wykonać notatkę służbową o określonej zawartości.

Po trzecie warto się zastanowić nad retencją.

A i po czwarte. Czy naprawdę sadzając pracownika ochrony przed sprzętem będącym własnością firmy agencja ochrony przetwarza dane osobowe? Czy moze to pracownik przetwarza? To już jako zagwozdka.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: powierzenie przetwarzania danych

M. zd. jest to współadministrowanie danymi. Umowa, ale nie powierzenia.
Link do wypowiedziLink
Rafał K.

Rafał K. Specjalista ds.
Organizacyjnych,
EMIT

Temat: powierzenie przetwarzania danych

Służby ochrony legitymują wchodzących i wystawiają przepustki na wejście , które następnie przechowują. U nas taka przepustka ma nawet nr dowodu osobistego.
Według mnie są administratorami na podstawie przepisów o których mówił Grzegorz, ale może potrzebna być umowa powierzenia ze względu na nadgorliwość w interpretacjo przepisów RODO.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: powierzenie przetwarzania danych

Rafał K.:
Według mnie są administratorami na podstawie przepisów o których mówił Grzegorz, ale może potrzebna być umowa powierzenia ze względu na nadgorliwość w interpretacjo przepisów RODO.
A przed czym konkretnie ma taka umowa chronić? Nazwanie czegoś powierzeniem ma nam wzmocnić poziom ochrony danych? Dlaczego?
Link do wypowiedziLink
Rafał K.

Rafał K. Specjalista ds.
Organizacyjnych,
EMIT

Temat: powierzenie przetwarzania danych

Nie wzmocni, zabezpieczy przed nadinterpretacją przepisów i nadgorliwym kontrolerem, który uzna, że to jest jednak powierzenie. :)

Jeżeli ktoś czuje się na siłach i przedstawi solidną podstawę, aby nie dokonywać powierzenia z obsługującą firmą ochroniarską i sprzątającą, to chętnie skorzystam.
Myślę, że nie tylko ja. Tysiące firm korzysta z takich usług .

Dobrze byłoby wyjaśnić ten temat do końca.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: powierzenie przetwarzania danych

Rafał K.:
Dobrze byłoby wyjaśnić ten temat do końca.

Widza tajemna... pst...

Maglowaliśmy temat powierzenia przetwarzania w przypadku przekazania danych do ubezpieczyciela, czy placówki medycznej, które mają własne przepisy i stają się ADO. Mechanizm jest ten sam. Formalnie
1. Powierzamy przetwarzanie danych osobowych naszych pracowników w systemach kontroli dostępu, CCTV, włamania i napadu (kody powinny być indywidualne).
2. Dane te są niezbędne do realizacji zadań ustawowych ochrony osób i mienia (z definicji, to nie tylko ochrona przez przestępstwami i wykroczeniami, ale też i przed wtargnięciem).
3. AO przetwarza wiele z tych danych na podstawie własnego przepisu prawa w tym archiwizuje również (księgi realizacji umowy, notatki, dzienniki służby).

I wyrażę swoje zdanie, identyczne jak w przypadku ubezpieczycieli czy służby zdrowia. Powierzamy w zakresie w którym dane są przetwarzane na nasz cel i zakres (zapewnienie bezpieczeństwa majątkowi i osobom)
AO staje się ADO - w zakresie w którym wymagane jest to prawem.
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: powierzenie przetwarzania danych

Katarzyna K.:
Witam,

czy w Państwa ocenie sytuacja, w której spółka XYZ ma zawartą umowę na ochronę zakłądu pracy (firma ochroniarska zapewnia kilku ochroniarzy, którzy mają swój budynek przy wjeździe do firmy i do ich zadań należy m.i.n prowadzenie księgi wejść i wyjść, mają dostęp do monitoringu- jedynie na bieżąco, nie mają podglądu wstecz) wymaga zwarcia umowy o powierzenie przetwarzania? Dodam, że wszystkie dane osobowe zgromadzone w ramach pełnienia obowiązków przez ochroniarzy są gromadzone na sprzęcie firmy XYZ

Sprawa nie jest jednoznaczna. Do rozstrzygnięcia jest kilka spraw.
- Prymat obowiązywania rodo nad ustawodawstwem krajowym.
- Stosunki własnościowe nieruchomości i ruchomości w której przebywają ochroniarze.
- Okoliczności zawarcia umowy.
- Zakres kompetencji zlecającego i zleceniobiorcy.
- Czy ustawa o ochronie osób i mienia zawiera przepisy o ochronie danych osobowych.

Zleceniodawca decyduje o formie i zakresie ochrony własnego przedsiębiorstwa. Może go nie ochraniać, ochraniać tworząc własną formację lub zlecić na zewnątrz. W tym sensie spełnia kryteria ADO.
Niezależnie czy powoła własną formację (wewnętrzna służba ochrony), czy zleci firmie zewnętrznej, tworzenia i działanie obu formacji zostało opisane w ustawie o ochronie osób i mienia.
Jeśli przyjąć tezę, że na podstawie tej ustawy firma ochroniarska jest samodzielnym ADO, to również tak samo należy odnieść do własnej.

Czy zewnętrzna firma ochroniarska spełnia kryteria ADO, czy procesora, a może współadministratora lub strony trzeciej.
Jeśli przyjąć tezę, że jest samodzielnym ADO, to należałoby uznać, że firma ochroniarska nie potrzebuje umowy zlecenia do wykonywania swoich obowiązków.

Jeśli firma ochroniarska jest ADO, to na jakiej podstawie (z rodo) pracuje na obiektach i sprzęcie zlecającego.

Wywód oparty na odwołaniu się do obowiązujących przepisów będzie cennym dla zainteresowanych.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: powierzenie przetwarzania danych

Rafał K.:
Nie wzmocni, zabezpieczy przed nadinterpretacją przepisów i nadgorliwym kontrolerem, który uzna, że to jest jednak powierzenie. :)
Chyba gorzej odwrotnie: przyjmiemy, że powierzenie, ograniczymy odpowiedzialność rzekomego procesora do odpowiedzialności określonej w umowie powierzenia, a tu zonk - kontrola uzna, że to jednak odrębny ADO i ma więcej obowiązków, niż myśleliśmy. Nie uważasz?
Dobrze byłoby wyjaśnić ten temat do końca.
Ja bym zaczął od schematu przepływów danych zgodnie z normą ISO/IEC 29134:2017.
Link do wypowiedziLink
Rafał K.

Rafał K. Specjalista ds.
Organizacyjnych,
EMIT

Temat: powierzenie przetwarzania danych

bardzo dobre pytania zadał Radek :)
"Jeśli przyjąć tezę, że jest samodzielnym ADO, to należałoby uznać, że firma ochroniarska nie potrzebuje umowy zlecenia do wykonywania swoich obowiązków.

Jeśli firma ochroniarska jest ADO, to na jakiej podstawie (z rodo) pracuje na obiektach i sprzęcie zlecającego."

Wobec tego jednak umowa powierzenia .Ten post został edytowany przez Autora dnia 10.05.18 o godzinie 10:53
Link do wypowiedziLink
Rafał K.

Rafał K. Specjalista ds.
Organizacyjnych,
EMIT

Temat: powierzenie przetwarzania danych

Paweł G.:
Chyba gorzej odwrotnie: przyjmiemy, że powierzenie, ograniczymy odpowiedzialność rzekomego procesora do odpowiedzialności określonej w umowie powierzenia, a tu zonk - kontrola uzna, że to jednak odrębny ADO i ma więcej obowiązków, niż myśleliśmy. Nie uważasz?

Sformułuję zapis w umowie w taki sposób aby obowiązki nie zostały określone w sposób szczegółowy ale odwołam się do wymogów Rozporządzenia :)

Ponadto, jeżeli kontrola uzna "Ochronę" za ADO, to z tego tytułu nie doznam raczej żadnych dolegliwości.
Link do wypowiedziLink
Marek Rajszczak

Marek Rajszczak Inspektor Ochrony
Danych

Temat: powierzenie przetwarzania danych

Katarzyna K.:
Witam,

czy w Państwa ocenie sytuacja, w której spółka XYZ ma zawartą umowę na ochronę zakłądu pracy (firma ochroniarska zapewnia kilku ochroniarzy, którzy mają swój budynek przy wjeździe do firmy i do ich zadań należy m.i.n prowadzenie księgi wejść i wyjść, mają dostęp do monitoringu- jedynie na bieżąco, nie mają podglądu wstecz) wymaga zwarcia umowy o powierzenie przetwarzania? Dodam, że wszystkie dane osobowe zgromadzone w ramach pełnienia obowiązków przez ochroniarzy są gromadzone na sprzęcie firmy XYZ

Jeśli nie ma dostępu do nagrań archiwalny a tylko podgląd bieżący, zaś w księdze wejść/wyjść jest tylko imię i nazwisko - to podpisywanie umowy powierzenia jest przerostem formy nad treścią.
Pomimo, że wizerunek jest też daną osobą to ochroniarz tylko widzi ale nic z tym nie robi. Ważne jest co się stanie jeśli ktoś te dane ukradnie. Księga wejść wyjść nic nie da jeśli tam jest tylko imię i nazwisko - a generalnie tylko to można spisywać. Monitor jak ukradną? strata materialna nic pozatym.
To co powinno być to umowa o poufności. I w tym przypadku temat by to rozwiązało.
Ale to jest tylko moja opinia.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: powierzenie przetwarzania danych

Rafał K.:
Jeśli firma ochroniarska jest ADO, to na jakiej podstawie (z rodo) pracuje na obiektach i sprzęcie zlecającego."
Na mocy pisemnej umowy między współadministratorami. To nie jest pytanie, na które odpowiedź pozwoli rozwiązać Twój problem. Ważne jest, jakie kto operacje wykonuje na danych i czyje cele tym samym realizuje, a nie na jakim sprzęcie pracuje.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: powierzenie przetwarzania danych

Rafał K.:
bardzo dobre pytania zadał Radek :)
"Jeśli przyjąć tezę, że jest samodzielnym ADO, to należałoby uznać, że firma ochroniarska nie potrzebuje umowy zlecenia do wykonywania swoich obowiązków.
M. zd. wnioskowanie jest błędne, a takie postawienie sprawy wiedzie na manowce.
Firma ochroniarska stanie się ADO (współ) w związku z zawarciem tej umowy. To są dwie różne kwestie; styk prawa publicznego z prywatnym. Dylemat, kto jest ADO, rozstrzyga się na podstawie prawa publicznego. Umowa cywilnoprawna to prawo prywatne.

Rozstrzygnięcie, że firma ochroniarska ma własne cele przetwarzania i stanie się współadministratorem (prawo publiczne), powinno prowadzić do wniosku, że wzajemne obowiązki i prawa stron w stosunku do danych osobowych powinno się uregulować na mocy prawa prywatnego, tj. co do tego trzeba się umówić umową.

Radek stawia sprawę na głowie.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: powierzenie przetwarzania danych

Rafał K.:
Sformułuję zapis w umowie w taki sposób aby obowiązki nie zostały określone w sposób szczegółowy ale odwołam się do wymogów Rozporządzenia :)
Mam wrażenie, że chcesz po prostu jakkolwiek odwalić robotę, żeby tylko papiór jakiś powstał. Nie tędy droga. Widać nie przeprowadziłeś analizy ryzyka związanego z udostępnieniem tych danych firmie ochroniarskiej, skoro chcesz klajstrować rzeczywistość ogólnikowymi formułkami, których druga strona wcale nie musi rozumieć.
Piszę to nie, żeby obrazić ;) - ale gwoli przemyślenia.
Ponadto, jeżeli kontrola uzna "Ochronę" za ADO, to z tego tytułu nie doznam raczej żadnych dolegliwości.
Zacznij od diagramu przepływów danych i analizy ryzyka, a Twoje życie stanie się prostsze. Zaczniesz rozumieć decyzje, jakie podejmujesz.
Link do wypowiedziLink
Rafał K.

Rafał K. Specjalista ds.
Organizacyjnych,
EMIT

Temat: powierzenie przetwarzania danych

Pawle, być może masz rację, ale weź pod uwagę, że obecnie panuje taki bałagan z RODO i interpretacją najprostszych zagadnień, że większość ludzi chce to zrobić najmniejszym kosztem.
Dopracuje się te dokumenty " w praniu" kiedy ukaże się wreszcie ustawa, będą jakieś konkretne wytyczne.
Na razie wystarczy mi spełnić formalne wymogi RODO.
Bierz pod uwagę, że nie każdy jest w tej dziedzinie fachowcem i "pasjonatem RODO" .
Firmy mają naprawdę sporo roboty "papierkowej" i bez RODO. To kolejny -raczej nie mile widziany obowiązek. Jakkolwiek nie była by to przykra dla Ciebie prawda.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: powierzenie przetwarzania danych

Rafał K.:
Bierz pod uwagę, że nie każdy jest (...) "pasjonatem RODO" .
Szkoda...
:)
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: powierzenie przetwarzania danych

Paweł G.:
Rafał K.:
Bierz pod uwagę, że nie każdy jest (...) "pasjonatem RODO" .
Szkoda...
:)
Przestań już...
Bo przestaniemy być wyjątkowi ;-)
Link do wypowiedziLink
Paulina S.

Paulina S. Inspektor ochrony
danych

Temat: powierzenie przetwarzania danych

Rafał K.:

Dopracuje się te dokumenty " w praniu" kiedy ukaże się wreszcie ustawa, będą jakieś konkretne wytyczne.
Jest jeszcze inna przykra prawda. Ustawa niczego nie doprecyzuje, bo też nie taki był jej cel.
Obecny projekt ustawy, który wyszedł z komisji reguluje jedynie takie kwestie jak działanie organu nadzorczego, certyfikacja, kodeksy postępowania, jest krótka informacja o powoływaniu IOD i karach oraz przepisy zmieniające i dostosowujące. Jest też liźnięty temat monitoringu co mnie akurat wyjątkowo cieszy.
Także tak...
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Hosting, a powierzenie prze...




Wyślij zaproszenie do
Anuluj