Umowa powierzenia przetwarzania danych
Transkrypt
Umowa powierzenia przetwarzania danych
Jak współpracować z agencją e‐mail marketingową w zakresie powierzenia przetwarzania danych Michał Sztąberek iSecure Sp. z o.o. Agenda • Kilka podstawowych pojęć • Przegląd obowiązków spoczywających na administratorze danych • Zgoda na przetwarzanie danych osobowych w UODO i UŚUDE • Umowa powierzenia przetwarzania danych osobowych • Odpowiedzialność stron umowy Kilka podstawowych pojęć • dane osobowe ‐ wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Ciekawostka: adres e‐mail, adres IP • przetwarzanie danych ‐ jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych Kilka podstawowych pojęć • informacja handlowa ‐ każda informacja przeznaczona bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy lub osoby wykonującej zawód, której prawo do wykonywania zawodu jest uzależnione od spełnienia wymagań określonych w odrębnych ustawach, z wyłączeniem informacji umożliwiającej porozumiewanie się za pomocą środków komunikacji elektronicznej z określoną osobą oraz informacja o towarach i usługach niesłużących osiągnięciu efektu handlowego pożądanego przez podmiot, który zleca jej rozpowszechnianie, w szczególności bez wynagrodzenia lub innych korzyści od producentów, sprzedawców i świadczących usługi Kilka podstawowych pojęć • administrator danych (ADO) – organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych. Administratorem danych będzie na przykład firma będąca właścicielem bazy e‐mailowej, do której ma być robiona wysyłka marketingowa • procesor – podmiot (inna firma), któremu ADO powierzył dane osobowe w oparciu o pisemną umowę zgodnie z art. 31 ust. 1 UODO Przegląd obowiązków ADO • Legitymowanie się jedną z przesłanek dopuszczalności przetwarzania danych osobowych • Przestrzeganie zasad przetwarzania danych: adekwatność, celowość i czasowość • Dopełnienie obowiązku informacyjnego • Dopełnienie obowiązku zabezpieczenia danych od strony organizacyjnej • Dopełnienie obowiązku zabezpieczenia danych od strony technicznej • Legalny outsourcing przetwarzania danych osobowych Przegląd obowiązków ADO • Legalne udostępnianie danych osobowych • Rejestracja zbiorów w GIODO Zgoda na przetwarzanie danych osobowych w UODO • zgoda osoby, której dane dotyczą to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści [art. 7 pkt. 5] • zgoda jako jedna z pięciu przesłanek legalnego przetwarzania danych osobowych [art. 23 ust. 1 pkt. 1] • pisemna zgoda jeżeli przetwarzane mają być tzw. dane wrażliwe np. informacje o stanie zdrowia [art. 27 ust. 2 pkt. 1] Zgoda na przetwarzanie danych osobowych w UŚUDE • zgoda w UŚUDE [art. 4]: ‐ nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści ‐ może być odwołana w każdym czasie ‐ konieczność wykazania uzyskania zgody dla celów dowodowych • konieczność uzyskania zgody na otrzymywanie informacji handlowych, w szczególności poprzez udostępnienie w tym celu adresu elektronicznego [art. 10 ust. 2] • odesłanie w zakresie przetwarzania danych do UODO, chyba że UŚUDE przewiduje inne reguły (wyjątki) [art. 16 ust. 1] Umowa powierzenia przetwarzania danych ADO samodzielne przetwarzanie danych outsourcing powierzenie przetwarzania Umowa powierzenia przetwarzania danych • Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych [art. 31 ust. 1 UODO] • Elementy niezbędne umowy powierzenia: ‐ umowa sporządzona na piśmie ‐ określenie celu powierzenia (przeznaczenia danych np. świadczenie usług e‐mail marketingu na bazie danych należącej do ADO) ‐ określenie zakresu powierzenia (rodzaju danych) ‐ podjęcie środków zabezpieczających zbiór danych (środki organizacyjne i techniczne – Rozdział 5 UODO) Umowa powierzenia przetwarzania danych §2 1. Zleceniobiorca może przetwarzać dane osobowe przekazane przez Zleceniodawcę wyłącznie w zakresie oraz w celu zgodnym z niniejszą Umową. 2. W celu wykonania postanowień niniejszej Umowy Zleceniobiorca może przetwarzać dane osobowe wyłącznie w celu wykonywaniu usługi e‐mail marketingu polegającej na ……............ Umowa powierzenia przetwarzania danych §2 1. Zleceniobiorca może przetwarzać dane osobowe przekazane przez Zleceniodawcę wyłącznie w zakresie oraz w celu zgodnym z niniejszą Umową. 2. W celu wykonania postanowień niniejszej Umowy Zleceniobiorca może przetwarzać dane osobowe wyłącznie w celu wykonywaniu usługi e‐mail marketingu polegającej na ……............ 3. W celu wykonania obowiązków wynikających z niniejszej Umowy Zleceniobiorca może przetwarzać takie dane osobowe jak: imię, nazwisko i adres e‐mail. Umowa powierzenia przetwarzania danych §3 1. Zleceniobiorca jest zobowiązany do przestrzegania przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) oraz przepisów wykonawczych. 2. Zleceniobiorca oświadcza, że przed rozpoczęciem przetwarzania danych podejmie środki techniczne i organizacyjne mające na celu zabezpieczenie powierzonych danych osobowych stosownie do przepisów, o których mowa w art. 36‐39 oraz spełni wymagania określone w przepisach, o których mowa w art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) Umowa powierzenia przetwarzania danych • Elementy dodatkowe umowy powierzenia: ‐ określenie środków przetwarzania danych ‐ forma przekazania danych osobowych ‐ informacje na temat zwrotu powierzonych danych ‐ kwestie płatności ‐ możliwość dalszego powierzenia danych osobowych (subprocesor) ‐ odpowiedzialność procesora np. kary umowne ‐ uprawnienia kontrolne ‐ możliwość przeprowadzenia audytu Odpowiedzialność stron umowy • odpowiedzialność za przestrzeganie przepisów spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę powierzenia przetwarzania danych, za ich przetwarzanie niezgodnie z tą umową [art. 31 ust. 3 UODO] • możliwość przeprowadzenia przez GIODO kontroli u procesora oraz wydania decyzji administracyjnej, której adresatem jest procesor[art. 31 ust. 4 UODO] Odpowiedzialność stron umowy • odpowiedzialność procesora: ‐odpowiedzialność cywilna wobec ADO wynikająca z postanowień umowy łączącej oba podmioty (odpowiedzialność kontraktowa) oraz za wyrządzenie szkody ADO (odpowiedzialność deliktowa) [art. 471 KC oraz art. 415 KC] ‐ odpowiedzialność administracyjna z tytułu spełnienia wymogów w zakresie zabezpieczenia danych [art. 18 w zw. z art. 35‐39a UODO] ‐ odpowiedzialność karna przewidziana w Rozdziale 8 UODO ‐ odpowiedzialność z tytułu naruszenia dóbr osobistych (odpowiedzialność ADO i procesora) [art. 23 i 24 KC] Dziękujemy za uwagę Zapraszamy do zadawania pytań iSecure Sp. z o.o. [email protected] www.isecure.pl