blog

Czy dealer jest zobowiązany do zawierania umów powierzenia przetwarzania danych?

Dealerzy samochodowi prowadząc działalność gospodarczą wykonują szereg różnych czynności – począwszy od np. działalności marketingowej, przez zawieranie umów sprzedaży, do ustalania warunków przyznawania leasingu klientom. W swojej pracy często korzystają z pomocy zewnętrznych podmiotów, które świadczą dla nich usługi outsourcingowe – np. usługi księgowo-kadrowe, obsługę IT, czy usługi windykacyjne. Tego typu działania prowadzą do udostępniania danych osobowych klientów dealerów innym podmiotom. Czy w związku z powyższym dealerzy są zobowiązani do zawierania umów powierzenia przetwarzania danych osobowych?

RODO a powierzenie przetwarzania danych

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE czyli RODO, wprowadziło ogólną zasadę, według której w momencie, gdy jeden podmiot, będący administratorem danych osobowych (dealer), przekazuje te dane innemu podmiotowi, który będzie je przetwarzał (podmiot przetwarzający) – co do zasady konieczne jest zawarcie umowy powierzenia przetwarzania danych.

Zatem w przypadku, gdy dealer przekazuje dane swoich klientów podmiotowi zajmującemu się profesjonalnie np. prowadzeniem księgowości, marketingiem, bądź windykacją należy założyć, że konieczne będzie zawarcie stosownej umowy powierzenia przetwarzania danych osobowych.

Przykładowe rodzaje współpracy w których dochodzi do przekazania danych:

  • usługi księgowo-kadrowe,
  • usługi marketingowe,
  • usługi windykacyjne,
  • usługi ubezpieczeniowe,
  • usługi IT,
  • usługi dot. archiwizacji dokumentacji,
  • usługi dot. rekrutacji,
  • usługi medyczne, sportowe,
  • usługi BHP.

W takim układzie, jeżeli dealer przekazuje dane osobowe innym podmiotom pełni funkcję administratora danych osobowych, zaś podmioty z którymi współpracuje są podmiotami przetwarzającymi.

Umowa powierzenia przetwarzania danych osobowych

Należy zatem zadać sobie pytanie, jak powinna wyglądać umowa powierzenia przetwarzania danych osobowych. W tym miejscu w pierwszej kolejności należy przyjrzeć się ponownie przepisom RODO, które wskazują jakie elementy trzeba zamieścić w dokumencie.

Zgodnie z art. 28 RODO, przetwarzanie danych przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

Taka umowa ma stanowić w szczególności, że podmiot przetwarzający:

  1. przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
  2. zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
  3. podejmuje wszelkie środki wymagane na mocy art. 32;
  4. przestrzega warunków korzystania z usług innego podmiotu przetwarzającego,
  5. biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw;
  6. uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36;
  7. po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
  8. udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

Pomocne może być także zastrzeżenie kar umownych na wypadek nieprawidłowego korzystania z danych osobowych lub udostępniania ich innym podmiotom bez wiedzy administratora.

Sankcje za brak umowy

Rozporządzenie przewiduje surowe sankcje za nieprzestrzeganie przepisów przez administratorów – w tym także w przypadku braku zawarcia umów powierzenia przetwarzania danych osobowych. W przypadku wykrycia przez Urząd Ochrony Danych Osobowych, że dealer nie zawarł stosownych umów, może zostać nałożona na niego dotkliwa kara finansowa. Przykładowo w październiku 2019 roku Prezes UODO ukarał burmistrza miasta w Aleksandrowie Kujawskim karą w wysokości 40.000,00 zł za tego typu przewinienie.

Konieczna jest zatem weryfikacja umów zawartych przez dealerów i określenie takich w przypadku których dochodzi do powierzenia danych osobowych klientów innym podmiotom.

 

Kancelaria TURCZA prowadzi kompleksową obsługę w zakresie ochrony danych osobowych w organizacji – jeśli nie wiedzą Państwo czy w Państwa organizacji wprowadzone zostały odpowiednie procedury związane z przestrzeganiem przepisów rozporządzenia RODO – zapraszamy do kontaktu.

Marta Rabe-Kozłowska

Radca prawny

Email: m.rabe-kozlowska@turcza.com.pl

Mec. Marta Rabe-Kozłowska jest specjalistką z zakresu prawa spółek handlowych, prawa gospodarczego, prawa cywilnego, ochrony danych osobowych oraz legal english.

Magdalena Wietrak-Smura

Prawnik

Email: odo@turcza.com.pl

Magdalena Wietrak-Smura specjalizuje się w prawie cywilnym oraz prawie gospodarczym z uwzględnieniem zagadnień ekonomicznych.

Plan kontroli sektorowych UODO

Plan kontroli sektorowych UODO

W 2022 roku Urząd Ochrony Danych Osobowych zaplanował obecnie kontrole w trzech sektorach. Pierwszym z nich są organy przetwarzające dane w Systemach Informacyjnych Schengen oraz Wizowym. Jeżeli…

Co z tymi ciasteczkami (cookies) na stronach internetowych?

Co z tymi ciasteczkami (cookies) na stronach internetowych?

Przeglądając strony internetowe można odnieść wrażenie, że regulacje dot. plików cookies pozostają w najlepszym wypadku nieznane. Przyczyna? Wdrażając wytyczne najprawdopodobniej pozbawimy się cennych informacji, jakie dostarczają ciasteczka marketingowe.

Plan kontroli sektorowych UODO

Plan kontroli sektorowych UODO

W 2022 roku Urząd Ochrony Danych Osobowych zaplanował obecnie kontrole w trzech sektorach. Pierwszym z nich są organy przetwarzające dane w Systemach Informacyjnych Schengen oraz Wizowym. Jeżeli…

Pytania?

KONTAKT Z KANCELARIĄ

Pomożemy wybrać odpowiednie rozwiązanie

TURCZA Kancelaria Radców Prawnych

ul. Grochowska 56
60 – 347 Poznań

NIP: 945-189-28-38

Telefon: +48 61 666 37 60
E-mail: kancelaria@turcza.com.pl

    Administratorem danych osobowych jest Kancelaria Radców Prawnych Marek Turcza z siedzibą w Poznaniu (60-347), ul. Grochowska 56, REGON: 120119490, NIP: 9451892838. Informacje w przedmiocie warunków i zasad ochrony danych osobowych znajdują się na stronie http://turcza.com.pl/odo/.

    Biuro

    TURCZA Kancelaria Radców Prawnych

    ul. Grochowska 56
    60-347 Poznań

    Telefon: +48 61 666 37 60
    E-mail: kancelaria@turcza.com.pl

    Godziny otwarcia: od pon do pt - 8.30-16.30

    O nas

    TURCZA Kancelaria Radców Prawnych zapewnia stałą obsługę prawną z zakresu prawa ochrony danych osobowych zarówno przedsiębiorcom z sektora MŚP, jak i dużym spółkom notowanym na GPW S.A. w Warszawie.

    Zapraszamy również na stronę internetową Kancelarii: turcza.com.pl

    Copyright © 2023 TURCZA Kancelaria Radców Prawnych. All rights reserved.