Outsourcing usług, umowa powierzenia przetwarzania danych osobowych

Outsourcing usług i problematyka przetwarzania danych

Beata Marek IT&IP Lawyerwww.cyberlaw.pl

I Konwent Ochrony Danych Osobowych i InformacjiŁódź - 8 maja 2013r.

http://www.cyberlaw.pl

Agenda

1. Rodzaje outsourcingu 2. Wybór usługodawcy – analiza GRC

3. Kiedy należy zawrzeć umowę powierzenia? 4. Kto z kim zawiera umowę?

5. Jakie są elementy istotne umowy, co warto do niej dodać? 6. Umowa powierzenia – problemy

7. Kontrola usługodawcy

Beata Marek IT&IP Lawyer, www.cyberlaw.plI Konwent Ochrony Danych Osobowych i Informacji, Łódź - 8 maja 2013r.



Akty prawne* Konwencja Nr 108 Rady Europy o ochronie osób w związku z automatyc-znym przetwarzaniem danych osobowych, sporządzona w Strasburgu dnia 28 stycznia 1981 r. (Dz.U.2003.3.25) – dalej jako „Konwencja”

* Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 paździer-nika 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. L281, 23/11/1995) - dalej jako „Dyrektywa”

* Ustawa z dnia 29 sierpnia 1997r. O ochronie danych osobowych (t.j., Dz.U.2002.101.926 z późn. zm.) - dalej jako „uodo”



1. Rodzaje outsourcinguOutsourcing – powierzenie wykonywania/prowadzenia określonych czynności/procesów innemu, zewnętrznemu podmiotowi prawnemu aniżeli organizacji macierzystej w danym okresie czasowym (podmiotowi zewnętrznemu w znaczeniu kontraktowym bądź kapitałowym)

Outsourcing kontraktowy – powierzenie, zewnętrznemu podmiotowi niepowiązanemu w sposób kapitałowy z organizacją zlecającą wykonanie/ prowadzenie określonych czynności/procesów na jej rzecz/ w jej imieniu

Outsourcing kapitałowy – powierzenie wyodrębnionemu podmiotowi prawnemu powiązanemu w sposób kapitałowy z organizacją zlecającą wyko-nanie/prowadzenie określonych czynności/procesów na jej rzecz



Rodzaje outsourcingu

ze względu na cel: outsourcing naprawczy outsourcing dostosowawczy outsourcing rozwojowy

rodzaj wydzielanych funkcji: outsourcing funkcji pomocniczych outsourcing funkcji kierowniczych outsourcing funkcji podstawowych



Rodzaje outsourcinguzłożoność wydzielanych funkcji: pojedyncze czynności procesy obszary funkcjonalne

zakres wydzielania: outsourcing całkowity outsourcing częściowy wydzielenie wewnętrzne

trwałość wydzielania: outsourcing strategiczny outsourcing taktyczny



Rodzaje outsourcinguformę podporządkowania się po wydzieleniu: outsourcing kapitałowy outsourcing kontraktowy

Źródło: M.Trocki, Outsourcing, Polskie Wydawnictwo Ekonomiczne, Warszawa 2001

Ujęcie funkcjonalne

obsługa kadr / HR księgowość / usługi finansowe usługi prawne IT call center / handlowcy logistyka ochrona serwis …



Optymalizacja Ograniczenie odpowiedzialności

Specjalizacja / Koncentracja Ograniczenie metodyki pracy

Relacja biznesowa oparta na Relacja biznesowa oparta na zaufaniu weryfikacji

Ograniczenia kontrolne

Wygoda Konkurencja

Obserwacja rynku Analiza zaangażowania / jakości Analiza dyspozycjoności Analiza stopnia uzależenienia się



Relacja prawnaZamawiający <–---1----–> Wykonawca (powierzenie)

Wykonawca <–----2----–> Podwykonawca (powierzenie)

! Zamawiający <–---1----–> Wykonawca <–------2-----–> Podwykonawca (powierzenie) (podpowierzenie)

Charakter prawny umowyUmowa outsourcingowa = umowa o świadczenie usługiUmowa powierzenia przetwarzania danych osobowych = umowa zlecenie



2. Wybór usługodawcy - analiza GRCGovernance Risk Management Compliance(zarządzanie danymi) (zarządzanie ryzykiem) (zgodność)

proces dostępu post. poincydentalne legislacjadecyzje kontrola bezpieczeństwa regulacje sektoroweinstrukcje certyfikacja miękkie regulacjeproces decyzyjny wew. normy / wytyczne analiza możliwych naruszeń



3. Kiedy należy zawrzeć umowę powierzenia?

Art. 31 ust.1 uodo: „Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych”

Uprawnienie – w zakresie powierzenia przetwarzania danych osobowych innemu podmiotowi (data processor)

Obowiązek – w zakresie zawarcia umowy w formie pisemnej zgodnej z brzmieniem art. 31 uodo jeżeli przetwarzanie danych zostało powierzone innemu podmiotowi (data processor)



Powierzenie a upoważnienie do przetwarzania danych

Administrator Danych / data controller (art. 7 pkt. 4 uodo) –organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 uodo decydujący o celach i środkach przetwarzania danych osobowych

Organy państwoweOrgany samorządu terytorialnegoPaństwowe i komunalne jednostki organizacyjnePodmioty niepubliczne realizujące zadania publiczneOsoby fizyczne, osoby prawne oraz jednostki organizacyjne niebędące osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej



Powierzenie a upoważnienie do przetwarzania danych

Przetwarzający /data processor (art. 2 pkt. e dyrektywy) – osoba fizyczna lub prawna, władza publiczna, agencja lub inny organ przetwarzający dane osobowe w imieniu administratora danych

Przetwarzający/ Podmiot wtórnie przetwarzający dane /Podwykonawca /sub-processor – per analogiam do art. 2 pkt. e dyrektywy –osoba fizyczna lub prawna, władza publiczna, agencja lub inny organ przetwarzający dane osobowe w imieniu administratora danych działający na zlecenie przetwarzającego

Osoba upoważniona (art. 37 uodo) –osoba posiadająca stosowne upoważnienie nadane przez administratora danych, dopuszczona i tym samym uprawniona do przetwarzania danych



Umowa powierzenia a udostępnianie danychUdostępnianie = przekazywanie danych innemu Administratorowi Danych

Odbiorca danych (art. 7 pkt.6 uodo) –podmiot, któremu dane zostały przekazane przez Administratora Danych inny aniżeli:a) osoba, której dane dotyczą,b) osoba upoważnionej do przetwarzania danych,c) przedstawiciel administratora danych mającego siedzibę na terytorium państwa trzeciego, przetwarzających dane przy wykorzystaniu środków tech-nicznych znajdujących się na terytorium RP, d) przetwarzający,e) organ państwowy lub organ samorządu terytorialnego, któremu dane są udostępniane w związku z prowadzonym postępowaniem.



4. Kto z kim zawiera umowę?

1. Administrator Danych <–----–> Przetwarzający umowa powierzenia

2. Administrator Danych <–----–> umowa powierzenia + zgoda na podpowierzenie Processor <–----–> Sub-processor umowa podpowierzenia



5. Jakie są elementy istotne umowy, co warto do niej dodać?

Essentialia negotii – elementy istotne

1) Zachowanie formy pisemnej pod rygorem nieważności 2) Określenie stron

3) Określenie przedmiotu umowy 4) Określenie zakresu i celu przedmiotowej czynności



5. Jakie są elementy istotne umowy, co warto do niej dodać?

Naturalia negotii – elementy przedmiotowe nieistotne, ale przydatne

1) Określenie uprawnień i zobowiązań stron 2) Określenie oświadczeń

3) Określenie odpowiedzialności za szkody 4) Określenie czasu obowiązywania umowy



6. Umowa powierzenia – problemy



7. Kontrola usługodawcy

Komunikaty

Odpowiedzi na zapytania

Audyt


Dziękuję za uwagę :)

Beata Marek IT&IP Lawyerwww.cyberlaw.pl

[email protected]. 500-435-372

Warszawa - Łódź - Toruń - Poznań - Gdańsk

autorzy grafik wykorzystanych w prezentacji (źródło: devianart.com):

background: ipapun photo1: SpongySponge photo2: Zen-Cosplay photo3: jfphotography

I Konwent Ochrony Danych Osobowych i InformacjiŁódź - 8 maja 2013r.


http://ipapun.deviantart.com/

http://browse.deviantart.com/art/Stop-190485146

http://zen-cosplay.deviantart.com/art/The-Big-Heads-of-the-Internet-286153344

http://browse.deviantart.com/art/Money-Money-Money-108909672

Outsourcing usług, umowa powierzenia przetwarzania danych osobowych

Education

Transcript of Outsourcing usług, umowa powierzenia przetwarzania danych osobowych