blog

Czy dealer jest zobowiązany do zawierania umów powierzenia przetwarzania danych?

Dealerzy samochodowi prowadząc działalność gospodarczą wykonują szereg różnych czynności – począwszy od np. działalności marketingowej, przez zawieranie umów sprzedaży, do ustalania warunków przyznawania leasingu klientom. W swojej pracy często korzystają z pomocy zewnętrznych podmiotów, które świadczą dla nich usługi outsourcingowe – np. usługi księgowo-kadrowe, obsługę IT, czy usługi windykacyjne. Tego typu działania prowadzą do udostępniania danych osobowych klientów dealerów innym podmiotom. Czy w związku z powyższym dealerzy są zobowiązani do zawierania umów powierzenia przetwarzania danych osobowych?

RODO a powierzenie przetwarzania danych

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE czyli RODO, wprowadziło ogólną zasadę, według której w momencie, gdy jeden podmiot, będący administratorem danych osobowych (dealer), przekazuje te dane innemu podmiotowi, który będzie je przetwarzał (podmiot przetwarzający) – co do zasady konieczne jest zawarcie umowy powierzenia przetwarzania danych.

Zatem w przypadku, gdy dealer przekazuje dane swoich klientów podmiotowi zajmującemu się profesjonalnie np. prowadzeniem księgowości, marketingiem, bądź windykacją należy założyć, że konieczne będzie zawarcie stosownej umowy powierzenia przetwarzania danych osobowych.

Przykładowe rodzaje współpracy w których dochodzi do przekazania danych:

  • usługi księgowo-kadrowe,
  • usługi marketingowe,
  • usługi windykacyjne,
  • usługi ubezpieczeniowe,
  • usługi IT,
  • usługi dot. archiwizacji dokumentacji,
  • usługi dot. rekrutacji,
  • usługi medyczne, sportowe,
  • usługi BHP.

W takim układzie, jeżeli dealer przekazuje dane osobowe innym podmiotom pełni funkcję administratora danych osobowych, zaś podmioty z którymi współpracuje są podmiotami przetwarzającymi.

Umowa powierzenia przetwarzania danych osobowych

Należy zatem zadać sobie pytanie, jak powinna wyglądać umowa powierzenia przetwarzania danych osobowych. W tym miejscu w pierwszej kolejności należy przyjrzeć się ponownie przepisom RODO, które wskazują jakie elementy trzeba zamieścić w dokumencie.

Zgodnie z art. 28 RODO, przetwarzanie danych przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

Taka umowa ma stanowić w szczególności, że podmiot przetwarzający:

  1. przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
  2. zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
  3. podejmuje wszelkie środki wymagane na mocy art. 32;
  4. przestrzega warunków korzystania z usług innego podmiotu przetwarzającego,
  5. biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw;
  6. uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36;
  7. po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
  8. udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

Pomocne może być także zastrzeżenie kar umownych na wypadek nieprawidłowego korzystania z danych osobowych lub udostępniania ich innym podmiotom bez wiedzy administratora.

Sankcje za brak umowy

Rozporządzenie przewiduje surowe sankcje za nieprzestrzeganie przepisów przez administratorów – w tym także w przypadku braku zawarcia umów powierzenia przetwarzania danych osobowych. W przypadku wykrycia przez Urząd Ochrony Danych Osobowych, że dealer nie zawarł stosownych umów, może zostać nałożona na niego dotkliwa kara finansowa. Przykładowo w październiku 2019 roku Prezes UODO ukarał burmistrza miasta w Aleksandrowie Kujawskim karą w wysokości 40.000,00 zł za tego typu przewinienie.

Konieczna jest zatem weryfikacja umów zawartych przez dealerów i określenie takich w przypadku których dochodzi do powierzenia danych osobowych klientów innym podmiotom.

 

Kancelaria TURCZA prowadzi kompleksową obsługę w zakresie ochrony danych osobowych w organizacji – jeśli nie wiedzą Państwo czy w Państwa organizacji wprowadzone zostały odpowiednie procedury związane z przestrzeganiem przepisów rozporządzenia RODO – zapraszamy do kontaktu.

Marta Rabe-Kozłowska

Radca prawny

Email: m.rabe-kozlowska@turcza.com.pl

Mec. Marta Rabe-Kozłowska jest specjalistką z zakresu prawa spółek handlowych, prawa gospodarczego, prawa cywilnego, ochrony danych osobowych oraz legal english.

Magdalena Wietrak-Smura

Prawnik

Email: odo@turcza.com.pl

Magdalena Wietrak-Smura specjalizuje się w prawie cywilnym oraz prawie gospodarczym z uwzględnieniem zagadnień ekonomicznych.

Czy pracodawca może korzystać z prywatnych danych pracownika?

Czy pracodawca może korzystać z prywatnych danych pracownika?

blogNa podstawie wytycznych Prezesa Urzędu Ochrony Danych Osobowych, należy wskazać, że pracodawca który dysponuje danymi kontaktowymi pracownika pozyskanymi podczas rekrutacji (np. prywatnym adresem e-mail czy numerem telefonu), nie może ich wykorzystywać do...

NEWSLETTER RODO (25.05.2021)

NEWSLETTER RODO (25.05.2021)

blog1. Opinia EROD projektach decyzji stwierdzających odpowiedni stopień ochrony w Zjednoczonym Królestwie – 16.04.2021 r. W dniu 13 kwietnia 2021 r., Europejska Rada Ochrony Danych (EROD) przyjęła dwie opinie w sprawie projektów decyzji stwierdzających odpowiedni...

Kolejna milionowa kara za naruszenie ochrony danych osobowych

Kolejna milionowa kara za naruszenie ochrony danych osobowych

W dniu 17 maja 2021 roku Urząd Ochrony Danych Osobowych (dalej jako: „UODO”) poinformował o nałożeniu kary w wysokości 1,1 mln zł na Cyfrowy Polsat S.A. w związku z brakiem wdrożenia przez podmiot odpowiednich środków technicznych i organizacyjnych przy współpracy…

EIOD chce zakazać stosowania technologii rozpoznawania twarzy

EIOD chce zakazać stosowania technologii rozpoznawania twarzy

blogW dniu 23 kwietnia 2021 roku Europejski Inspektor Ochrony Danych i Prywatności (dalej jako: „EIOD”) wypowiedział się na temat wykorzystania technologii pozwalającej na rozpoznawanie twarzy. W swoim oświadczeniu uznał, że stosowanie tego typu rozwiązań powinno być...

Wyciek danych osobowych funkcjonariuszy służb mundurowych

Wyciek danych osobowych funkcjonariuszy służb mundurowych

W minionym tygodniu do Urzędu Ochrony Danych Osobowych (dalej jako: „UODO”) wpłynęło kolejne zgłoszenie dotyczące wycieku danych osobowych. Tym razem naruszenie dotyczyło danych osobowych funkcjonariuszy służb mundurowych. UODO wszczął już postępowanie w tej…

„Wyciek” danych z portalu LinkedIn

„Wyciek” danych z portalu LinkedIn

Na początku lipca 2021 roku pojawiły się informacje sugerujące wyciek danych osobowych z 700 milionów kont założonych na portalu LinkedIn, które teraz są oferowane na sprzedaż. Jest to już kolejna informacja o wycieku danych z tego portalu na przestrzeni ostatnich…

Czy pracodawca może korzystać z prywatnych danych pracownika?

Czy pracodawca może korzystać z prywatnych danych pracownika?

blogNa podstawie wytycznych Prezesa Urzędu Ochrony Danych Osobowych, należy wskazać, że pracodawca który dysponuje danymi kontaktowymi pracownika pozyskanymi podczas rekrutacji (np. prywatnym adresem e-mail czy numerem telefonu), nie może ich wykorzystywać do...

NEWSLETTER RODO (25.05.2021)

NEWSLETTER RODO (25.05.2021)

blog1. Opinia EROD projektach decyzji stwierdzających odpowiedni stopień ochrony w Zjednoczonym Królestwie – 16.04.2021 r. W dniu 13 kwietnia 2021 r., Europejska Rada Ochrony Danych (EROD) przyjęła dwie opinie w sprawie projektów decyzji stwierdzających odpowiedni...

Kolejna milionowa kara za naruszenie ochrony danych osobowych

Kolejna milionowa kara za naruszenie ochrony danych osobowych

W dniu 17 maja 2021 roku Urząd Ochrony Danych Osobowych (dalej jako: „UODO”) poinformował o nałożeniu kary w wysokości 1,1 mln zł na Cyfrowy Polsat S.A. w związku z brakiem wdrożenia przez podmiot odpowiednich środków technicznych i organizacyjnych przy współpracy…

EIOD chce zakazać stosowania technologii rozpoznawania twarzy

EIOD chce zakazać stosowania technologii rozpoznawania twarzy

blogW dniu 23 kwietnia 2021 roku Europejski Inspektor Ochrony Danych i Prywatności (dalej jako: „EIOD”) wypowiedział się na temat wykorzystania technologii pozwalającej na rozpoznawanie twarzy. W swoim oświadczeniu uznał, że stosowanie tego typu rozwiązań powinno być...

Pytania?

KONTAKT Z KANCELARIĄ

Pomożemy wybrać odpowiednie rozwiązanie

TURCZA Kancelaria Radców Prawnych

NIP: 945-189-28-38

Telefon: +48 61 666 37 60
E-mail: kancelaria@turcza.com.pl

Oddział Poznań

ul. Palacza 144
60-278 Poznań

Oddział Leszno

ul. Niepodległości 49
64-100 Leszno

    Wyrażam zgodę na przetwarzanie przez Kancelarię Radców Prawnych Marek Turcza z siedzibą w Poznaniu, moich danych osobowych wskazanych na formularzu kontaktowym w celach marketingowych.

    Wyrażam zgodę na otrzymywanie od Kancelarii Radców Prawnych Marek Turcza z siedzibą w Poznaniu (60-278), ul. Palacza 144, REGON: 120119490, NIP: 9451892838 informacji handlowej i materiałów promocyjnych środkami komunikacji elektronicznej (e-mail), w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.


    Administratorem danych osobowych jest Kancelaria Radców Prawnych Marek Turcza z siedzibą w Poznaniu (60-278), ul. Palacza 144, REGON: 120119490, NIP: 9451892838. Informacje w przedmiocie warunków i zasad ochrony danych osobowych znajdują się na stronie http://turcza.com.pl/odo/.


    Biuro

    TURCZA Kancelaria Radców Prawnych

    ul. Palacza 144
    60-278 Poznań

    Telefon: +48 61 666 37 60
    E-mail: kancelaria@turcza.com.pl

    Godziny otwarcia: od pon do pt - 8.30-16.30

    O nas

    TURCZA Kancelaria Radców Prawnych zapewnia stałą obsługę prawną z zakresu prawa ochrony danych osobowych zarówno przedsiębiorcom z sektora MŚP, jak i dużym spółkom notowanym na GPW S.A. w Warszawie.

    Zapraszamy również na stronę internetową Kancelarii: turcza.com.pl

    Copyright © 2021 TURCZA Kancelaria Radców Prawnych. All rights reserved.

    0