Słowniczek

Powierzenie przetwarzania danych

Powierzenie przetwarzania danych osobowych to sytuacja, w której administrator (pracodawca) przekazuje dane osobowe do przetwarzania podmiotowi zewnętrznemu (procesorowi) na podstawie umowy powierzenia (art. 28 RODO). W kontekście HR typowe przypadki powierzenia to: outsourcing płac i kadr, zewnętrzna obsługa BHP i medycyny pracy, systemy kadrowe w chmurze (SaaS), agencje rekrutacyjne, firmy szkoleniowe, dostawcy benefitów i hosting poczty firmowej. Umowa powierzenia musi zawierać: przedmiot i czas trwania, charakter i cel przetwarzania, rodzaj danych i kategorie osób, obowiązki i prawa administratora, zabezpieczenia procesora, zasady podpowierzenia (subprocesorzy), procedury audytu, zwrot lub usunięcie danych po zakończeniu umowy. Procesor może przetwarzać dane wyłącznie na udokumentowane polecenie administratora. Administrator odpowiada za wybór procesora zapewniającego odpowiednie gwarancje (due diligence).

Outsourcing płac/kadr, hosting systemu kadrowego (SaaS), agencja rekrutacyjna, firma BHP/medycyna pracy, dostawca benefitów (kafeteria, karty sportowe), firma szkoleniowa z dostępem do danych, serwis IT z dostępem do urządzeń z danymi pracowników.

Powierzenie: procesor działa na polecenie administratora, nie ma własnego celu (np. biuro rachunkowe liczy płace). Udostępnienie: odbiorca staje się administratorem z własnym celem (np. ZUS, US, sąd, komornik). Udostępnienie nie wymaga umowy powierzenia.

Przedmiot, czas, cel, rodzaj danych, kategorie osób, obowiązki procesora (zabezpieczenia, poufność, pomoc przy realizacji praw), zasady subpowierzenia, prawo do audytu, zwrot/usunięcie danych po zakończeniu. Może być częścią umowy głównej.

Tak, za zgodą administratora (ogólna z prawem sprzeciwu lub szczegółowa). Procesor informuje o nowych subprocesorach. Administrator może sprzeciwić się. Procesor odpowiada za subprocesora jak za siebie. Typowe: dostawca chmury jako subprocesor biura rachunkowego.

Administrator odpowiada wobec osób, których dane dotyczą. Procesor odpowiada, jeśli działał sprzecznie z umową lub instrukcjami. W praktyce: administrator ponosi karę UODO, ale może domagać się regresu od procesora na podstawie umowy powierzenia.

Powiązane pojęcia

Dane biometryczne pracowników

Inspektor Ochrony Danych (IOD)

Monitoring pracowników

Naruszenie ochrony danych osobowych

Obowiązek informacyjny RODO