blog
Czy dealer jest zobowiązany do zawierania umów powierzenia przetwarzania danych?
Dealerzy samochodowi prowadząc działalność gospodarczą wykonują szereg różnych czynności – począwszy od np. działalności marketingowej, przez zawieranie umów sprzedaży, do ustalania warunków przyznawania leasingu klientom. W swojej pracy często korzystają z pomocy zewnętrznych podmiotów, które świadczą dla nich usługi outsourcingowe – np. usługi księgowo-kadrowe, obsługę IT, czy usługi windykacyjne. Tego typu działania prowadzą do udostępniania danych osobowych klientów dealerów innym podmiotom. Czy w związku z powyższym dealerzy są zobowiązani do zawierania umów powierzenia przetwarzania danych osobowych?
RODO a powierzenie przetwarzania danych
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE czyli RODO, wprowadziło ogólną zasadę, według której w momencie, gdy jeden podmiot, będący administratorem danych osobowych (dealer), przekazuje te dane innemu podmiotowi, który będzie je przetwarzał (podmiot przetwarzający) – co do zasady konieczne jest zawarcie umowy powierzenia przetwarzania danych.
Zatem w przypadku, gdy dealer przekazuje dane swoich klientów podmiotowi zajmującemu się profesjonalnie np. prowadzeniem księgowości, marketingiem, bądź windykacją należy założyć, że konieczne będzie zawarcie stosownej umowy powierzenia przetwarzania danych osobowych.
Przykładowe rodzaje współpracy w których dochodzi do przekazania danych:
- usługi księgowo-kadrowe,
- usługi marketingowe,
- usługi windykacyjne,
- usługi ubezpieczeniowe,
- usługi IT,
- usługi dot. archiwizacji dokumentacji,
- usługi dot. rekrutacji,
- usługi medyczne, sportowe,
- usługi BHP.
W takim układzie, jeżeli dealer przekazuje dane osobowe innym podmiotom pełni funkcję administratora danych osobowych, zaś podmioty z którymi współpracuje są podmiotami przetwarzającymi.
Umowa powierzenia przetwarzania danych osobowych
Należy zatem zadać sobie pytanie, jak powinna wyglądać umowa powierzenia przetwarzania danych osobowych. W tym miejscu w pierwszej kolejności należy przyjrzeć się ponownie przepisom RODO, które wskazują jakie elementy trzeba zamieścić w dokumencie.
Zgodnie z art. 28 RODO, przetwarzanie danych przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.
Taka umowa ma stanowić w szczególności, że podmiot przetwarzający:
- przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
- zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
- podejmuje wszelkie środki wymagane na mocy art. 32;
- przestrzega warunków korzystania z usług innego podmiotu przetwarzającego,
- biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw;
- uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36;
- po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
- udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
Pomocne może być także zastrzeżenie kar umownych na wypadek nieprawidłowego korzystania z danych osobowych lub udostępniania ich innym podmiotom bez wiedzy administratora.
Sankcje za brak umowy
Rozporządzenie przewiduje surowe sankcje za nieprzestrzeganie przepisów przez administratorów – w tym także w przypadku braku zawarcia umów powierzenia przetwarzania danych osobowych. W przypadku wykrycia przez Urząd Ochrony Danych Osobowych, że dealer nie zawarł stosownych umów, może zostać nałożona na niego dotkliwa kara finansowa. Przykładowo w październiku 2019 roku Prezes UODO ukarał burmistrza miasta w Aleksandrowie Kujawskim karą w wysokości 40.000,00 zł za tego typu przewinienie.
Konieczna jest zatem weryfikacja umów zawartych przez dealerów i określenie takich w przypadku których dochodzi do powierzenia danych osobowych klientów innym podmiotom.
Kancelaria TURCZA prowadzi kompleksową obsługę w zakresie ochrony danych osobowych w organizacji – jeśli nie wiedzą Państwo czy w Państwa organizacji wprowadzone zostały odpowiednie procedury związane z przestrzeganiem przepisów rozporządzenia RODO – zapraszamy do kontaktu.
Marta Rabe-Kozłowska
Radca prawny
Email: m.rabe-kozlowska@turcza.com.pl
Mec. Marta Rabe-Kozłowska jest specjalistką z zakresu prawa spółek handlowych, prawa gospodarczego, prawa cywilnego, ochrony danych osobowych oraz legal english.
Magdalena Wietrak-Smura
Prawnik
Email: odo@turcza.com.pl
Magdalena Wietrak-Smura specjalizuje się w prawie cywilnym oraz prawie gospodarczym z uwzględnieniem zagadnień ekonomicznych.
Zakaz wykorzystania treści przez przedsiębiorcę – co zawierają nowe przepisy o prawach konsumenta
Poczynając od 1 stycznia 2023 roku do ustawy o prawach konsumenta, zwanej dalej również jako ”ustawa” wprowadzono szereg zmian, w tym związanych z ochroną danych osobowych. Ustawodawca wprowadził definicję, rozszerzył katalog umów zawieranych z konsumentem oraz…
Czy pracodawca ma prawo do poinformowania kontrahentów o odejściu z pracy pracownika?
Każde przetwarzanie danych osobowych powinno następować zgodnie z obowiązującymi przepisami prawa, a także zgodnie z oświadczeniem o wyrażeniu zgody na przetwarzanie danych złożonym przez podmiot, którego dane osobowe będą przetwarzane. Ostatnimi czasy Wojewódzki…
Brak podstawy do sprawdzania statusu szczepień przez pracodawców
Rząd oraz większość sejmowa od dłuższego czasu zmaga się z projektem ustawy umożliwiającym pracodawcom sprawdzanie status pracowników. Obecnie jednak brak odpowiednich regulacji – zarówno dla…
Brak współpracy z UODO jako podstawa do nałożenia kary pieniężnej
Karę 18 tysięcy złotych nałożył na Pactum Poland Sp. z o.o. Prezes Urzędu Ochrony Danych Osobowych. Podstawą do nałożenia powyższej kary był brak współpracy ze strony spółki w wyjaśnianiu stanu…
Plan kontroli sektorowych UODO
W 2022 roku Urząd Ochrony Danych Osobowych zaplanował obecnie kontrole w trzech sektorach. Pierwszym z nich są organy przetwarzające dane w Systemach Informacyjnych Schengen oraz Wizowym. Jeżeli…
RODO a anonimowe naruszenie dóbr osobistych w Internecie
Podanie podstawowych danych jak imię i nazwisko, adres i PESEL to wymóg formalny w przypadku skierowania sprawy na drogę postępowania sądowego, dotyczy to zarówno strony powodowej, jak i…
Co z tymi ciasteczkami (cookies) na stronach internetowych?
Przeglądając strony internetowe można odnieść wrażenie, że regulacje dot. plików cookies pozostają w najlepszym wypadku nieznane. Przyczyna? Wdrażając wytyczne najprawdopodobniej pozbawimy się cennych informacji, jakie dostarczają ciasteczka marketingowe.
Zakaz wykorzystania treści przez przedsiębiorcę – co zawierają nowe przepisy o prawach konsumenta
Poczynając od 1 stycznia 2023 roku do ustawy o prawach konsumenta, zwanej dalej również jako ”ustawa” wprowadzono szereg zmian, w tym związanych z ochroną danych osobowych. Ustawodawca wprowadził definicję, rozszerzył katalog umów zawieranych z konsumentem oraz…
Czy pracodawca ma prawo do poinformowania kontrahentów o odejściu z pracy pracownika?
Każde przetwarzanie danych osobowych powinno następować zgodnie z obowiązującymi przepisami prawa, a także zgodnie z oświadczeniem o wyrażeniu zgody na przetwarzanie danych złożonym przez podmiot, którego dane osobowe będą przetwarzane. Ostatnimi czasy Wojewódzki…
Brak podstawy do sprawdzania statusu szczepień przez pracodawców
Rząd oraz większość sejmowa od dłuższego czasu zmaga się z projektem ustawy umożliwiającym pracodawcom sprawdzanie status pracowników. Obecnie jednak brak odpowiednich regulacji – zarówno dla…
Brak współpracy z UODO jako podstawa do nałożenia kary pieniężnej
Karę 18 tysięcy złotych nałożył na Pactum Poland Sp. z o.o. Prezes Urzędu Ochrony Danych Osobowych. Podstawą do nałożenia powyższej kary był brak współpracy ze strony spółki w wyjaśnianiu stanu…
Plan kontroli sektorowych UODO
W 2022 roku Urząd Ochrony Danych Osobowych zaplanował obecnie kontrole w trzech sektorach. Pierwszym z nich są organy przetwarzające dane w Systemach Informacyjnych Schengen oraz Wizowym. Jeżeli…
Pytania?
KONTAKT Z KANCELARIĄ
Pomożemy wybrać odpowiednie rozwiązanie
TURCZA Kancelaria Radców Prawnych
ul. Grochowska 56
60 – 347 Poznań
NIP: 945-189-28-38
Telefon: +48 61 666 37 60
E-mail: kancelaria@turcza.com.pl
Biuro
TURCZA Kancelaria Radców Prawnych
ul. Grochowska 56
60-347 Poznań
Telefon: +48 61 666 37 60
E-mail: kancelaria@turcza.com.pl
Godziny otwarcia: od pon do pt - 8.30-16.30
O nas
TURCZA Kancelaria Radców Prawnych zapewnia stałą obsługę prawną z zakresu prawa ochrony danych osobowych zarówno przedsiębiorcom z sektora MŚP, jak i dużym spółkom notowanym na GPW S.A. w Warszawie.
Zapraszamy również na stronę internetową Kancelarii: turcza.com.pl
Nawigacja strony
Copyright © 2023 TURCZA Kancelaria Radców Prawnych. All rights reserved.