outsourcing usług, umowa powierzenia przetwarzania danych osobowych
Post on 22-Oct-2014
2.181 views
DESCRIPTION
TRANSCRIPT
Outsourcing usług i problematyka przetwarzania danych
Beata Marek IT&IP Lawyerwww.cyberlaw.pl
I Konwent Ochrony Danych Osobowych i InformacjiŁódź - 8 maja 2013r.
Agenda
1. Rodzaje outsourcingu 2. Wybór usługodawcy – analiza GRC
3. Kiedy należy zawrzeć umowę powierzenia? 4. Kto z kim zawiera umowę?
5. Jakie są elementy istotne umowy, co warto do niej dodać? 6. Umowa powierzenia – problemy
7. Kontrola usługodawcy
Beata Marek IT&IP Lawyer, www.cyberlaw.plI Konwent Ochrony Danych Osobowych i Informacji, Łódź - 8 maja 2013r.
Beata Marek IT&IP Lawyer, www.cyberlaw.plI Konwent Ochrony Danych Osobowych i Informacji, Łódź - 8 maja 2013r.
Akty prawne* Konwencja Nr 108 Rady Europy o ochronie osób w związku z automatyc-znym przetwarzaniem danych osobowych, sporządzona w Strasburgu dnia 28 stycznia 1981 r. (Dz.U.2003.3.25) – dalej jako „Konwencja”
* Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 paździer-nika 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. L281, 23/11/1995) - dalej jako „Dyrektywa”
* Ustawa z dnia 29 sierpnia 1997r. O ochronie danych osobowych (t.j., Dz.U.2002.101.926 z późn. zm.) - dalej jako „uodo”
Beata Marek IT&IP Lawyer, www.cyberlaw.plI Konwent Ochrony Danych Osobowych i Informacji, Łódź - 8 maja 2013r.
1. Rodzaje outsourcinguOutsourcing – powierzenie wykonywania/prowadzenia określonych czynności/procesów innemu, zewnętrznemu podmiotowi prawnemu aniżeli organizacji macierzystej w danym okresie czasowym (podmiotowi zewnętrznemu w znaczeniu kontraktowym bądź kapitałowym)
Outsourcing kontraktowy – powierzenie, zewnętrznemu podmiotowi niepowiązanemu w sposób kapitałowy z organizacją zlecającą wykonanie/ prowadzenie określonych czynności/procesów na jej rzecz/ w jej imieniu
Outsourcing kapitałowy – powierzenie wyodrębnionemu podmiotowi prawnemu powiązanemu w sposób kapitałowy z organizacją zlecającą wyko-nanie/prowadzenie określonych czynności/procesów na jej rzecz
Beata Marek IT&IP Lawyer, www.cyberlaw.plI Konwent Ochrony Danych Osobowych i Informacji, Łódź - 8 maja 2013r.
Rodzaje outsourcingu
ze względu na cel: outsourcing naprawczy outsourcing dostosowawczy outsourcing rozwojowy
rodzaj wydzielanych funkcji: outsourcing funkcji pomocniczych outsourcing funkcji kierowniczych outsourcing funkcji podstawowych
Beata Marek IT&IP Lawyer, www.cyberlaw.plI Konwent Ochrony Danych Osobowych i Informacji, Łódź - 8 maja 2013r.
Rodzaje outsourcinguzłożoność wydzielanych funkcji: pojedyncze czynności procesy obszary funkcjonalne
zakres wydzielania: outsourcing całkowity outsourcing częściowy wydzielenie wewnętrzne
trwałość wydzielania: outsourcing strategiczny outsourcing taktyczny
Beata Marek IT&IP Lawyer, www.cyberlaw.plI Konwent Ochrony Danych Osobowych i Informacji, Łódź - 8 maja 2013r.
Rodzaje outsourcinguformę podporządkowania się po wydzieleniu: outsourcing kapitałowy outsourcing kontraktowy
Źródło: M.Trocki, Outsourcing, Polskie Wydawnictwo Ekonomiczne, Warszawa 2001
Ujęcie funkcjonalne
obsługa kadr / HR księgowość / usługi finansowe usługi prawne IT call center / handlowcy logistyka ochrona serwis …
Beata Marek IT&IP Lawyer, www.cyberlaw.plI Konwent Ochrony Danych Osobowych i Informacji, Łódź - 8 maja 2013r.
Optymalizacja Ograniczenie odpowiedzialności
Specjalizacja / Koncentracja Ograniczenie metodyki pracy
Relacja biznesowa oparta na Relacja biznesowa oparta na zaufaniu weryfikacji
Ograniczenia kontrolne
Wygoda Konkurencja
Obserwacja rynku Analiza zaangażowania / jakości Analiza dyspozycjoności Analiza stopnia uzależenienia się
Beata Marek IT&IP Lawyer, www.cyberlaw.plI Konwent Ochrony Danych Osobowych i Informacji, Łódź - 8 maja 2013r.
Relacja prawnaZamawiający <–---1----–> Wykonawca (powierzenie)
Wykonawca <–----2----–> Podwykonawca (powierzenie)
! Zamawiający <–---1----–> Wykonawca <–------2-----–> Podwykonawca (powierzenie) (podpowierzenie)
Charakter prawny umowyUmowa outsourcingowa = umowa o świadczenie usługiUmowa powierzenia przetwarzania danych osobowych = umowa zlecenie
Beata Marek IT&IP Lawyer, www.cyberlaw.plI Konwent Ochrony Danych Osobowych i Informacji, Łódź - 8 maja 2013r.
2. Wybór usługodawcy - analiza GRCGovernance Risk Management Compliance(zarządzanie danymi) (zarządzanie ryzykiem) (zgodność)
proces dostępu post. poincydentalne legislacjadecyzje kontrola bezpieczeństwa regulacje sektoroweinstrukcje certyfikacja miękkie regulacjeproces decyzyjny wew. normy / wytyczne analiza możliwych naruszeń
Beata Marek IT&IP Lawyer, www.cyberlaw.plI Konwent Ochrony Danych Osobowych i Informacji, Łódź - 8 maja 2013r.
3. Kiedy należy zawrzeć umowę powierzenia?
Art. 31 ust.1 uodo: „Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych”
Uprawnienie – w zakresie powierzenia przetwarzania danych osobowych innemu podmiotowi (data processor)
Obowiązek – w zakresie zawarcia umowy w formie pisemnej zgodnej z brzmieniem art. 31 uodo jeżeli przetwarzanie danych zostało powierzone innemu podmiotowi (data processor)
Beata Marek IT&IP Lawyer, www.cyberlaw.plI Konwent Ochrony Danych Osobowych i Informacji, Łódź - 8 maja 2013r.
Powierzenie a upoważnienie do przetwarzania danych
Administrator Danych / data controller (art. 7 pkt. 4 uodo) –organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 uodo decydujący o celach i środkach przetwarzania danych osobowych
Organy państwoweOrgany samorządu terytorialnegoPaństwowe i komunalne jednostki organizacyjnePodmioty niepubliczne realizujące zadania publiczneOsoby fizyczne, osoby prawne oraz jednostki organizacyjne niebędące osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej
Beata Marek IT&IP Lawyer, www.cyberlaw.plI Konwent Ochrony Danych Osobowych i Informacji, Łódź - 8 maja 2013r.
Powierzenie a upoważnienie do przetwarzania danych
Przetwarzający /data processor (art. 2 pkt. e dyrektywy) – osoba fizyczna lub prawna, władza publiczna, agencja lub inny organ przetwarzający dane osobowe w imieniu administratora danych
Przetwarzający/ Podmiot wtórnie przetwarzający dane /Podwykonawca /sub-processor – per analogiam do art. 2 pkt. e dyrektywy –osoba fizyczna lub prawna, władza publiczna, agencja lub inny organ przetwarzający dane osobowe w imieniu administratora danych działający na zlecenie przetwarzającego
Osoba upoważniona (art. 37 uodo) –osoba posiadająca stosowne upoważnienie nadane przez administratora danych, dopuszczona i tym samym uprawniona do przetwarzania danych
Beata Marek IT&IP Lawyer, www.cyberlaw.plI Konwent Ochrony Danych Osobowych i Informacji, Łódź - 8 maja 2013r.
Umowa powierzenia a udostępnianie danychUdostępnianie = przekazywanie danych innemu Administratorowi Danych
Odbiorca danych (art. 7 pkt.6 uodo) –podmiot, któremu dane zostały przekazane przez Administratora Danych inny aniżeli:a) osoba, której dane dotyczą,b) osoba upoważnionej do przetwarzania danych,c) przedstawiciel administratora danych mającego siedzibę na terytorium państwa trzeciego, przetwarzających dane przy wykorzystaniu środków tech-nicznych znajdujących się na terytorium RP, d) przetwarzający,e) organ państwowy lub organ samorządu terytorialnego, któremu dane są udostępniane w związku z prowadzonym postępowaniem.
Beata Marek IT&IP Lawyer, www.cyberlaw.plI Konwent Ochrony Danych Osobowych i Informacji, Łódź - 8 maja 2013r.
4. Kto z kim zawiera umowę?
1. Administrator Danych <–----–> Przetwarzający umowa powierzenia
2. Administrator Danych <–----–> umowa powierzenia + zgoda na podpowierzenie Processor <–----–> Sub-processor umowa podpowierzenia
Beata Marek IT&IP Lawyer, www.cyberlaw.plI Konwent Ochrony Danych Osobowych i Informacji, Łódź - 8 maja 2013r.
5. Jakie są elementy istotne umowy, co warto do niej dodać?
Essentialia negotii – elementy istotne
1) Zachowanie formy pisemnej pod rygorem nieważności 2) Określenie stron
3) Określenie przedmiotu umowy 4) Określenie zakresu i celu przedmiotowej czynności
Beata Marek IT&IP Lawyer, www.cyberlaw.plI Konwent Ochrony Danych Osobowych i Informacji, Łódź - 8 maja 2013r.
5. Jakie są elementy istotne umowy, co warto do niej dodać?
Naturalia negotii – elementy przedmiotowe nieistotne, ale przydatne
1) Określenie uprawnień i zobowiązań stron 2) Określenie oświadczeń
3) Określenie odpowiedzialności za szkody 4) Określenie czasu obowiązywania umowy
Beata Marek IT&IP Lawyer, www.cyberlaw.plI Konwent Ochrony Danych Osobowych i Informacji, Łódź - 8 maja 2013r.
6. Umowa powierzenia – problemy
Beata Marek IT&IP Lawyer, www.cyberlaw.plI Konwent Ochrony Danych Osobowych i Informacji, Łódź - 8 maja 2013r.
6. Umowa powierzenia – problemy
Beata Marek IT&IP Lawyer, www.cyberlaw.plI Konwent Ochrony Danych Osobowych i Informacji, Łódź - 8 maja 2013r.
6. Umowa powierzenia – problemy
Beata Marek IT&IP Lawyer, www.cyberlaw.plI Konwent Ochrony Danych Osobowych i Informacji, Łódź - 8 maja 2013r.
7. Kontrola usługodawcy
Komunikaty
Odpowiedzi na zapytania
Audyt
Dziękuję za uwagę :)
Beata Marek IT&IP Lawyerwww.cyberlaw.pl
[email protected]. 500-435-372
Warszawa - Łódź - Toruń - Poznań - Gdańsk
autorzy grafik wykorzystanych w prezentacji (źródło: devianart.com):
background: ipapun photo1: SpongySponge photo2: Zen-Cosplay photo3: jfphotography
I Konwent Ochrony Danych Osobowych i InformacjiŁódź - 8 maja 2013r.