Współpraca z podwykonawcami na tle RODO, umowa powierzenia

1. —Gawroński&Partners
Dostosowanie współpracy
z podwykonawcami do RODO
radca prawny Maciej Gawroński
Gawroński & Partners S.K.A.
1Warszawa, 09.04.2018

2. —Gawroński&Partners
2
Działamy przekrojowo Komunikujemy zwięźle Odpowiadamy za miliardy
Dostarczamy rozwiązania.
Warszawa, 09.04.2018

3. —Gawroński&Partners
Nasz zespół to osoby z doświadczeniem w Komisji Nadzoru
Finansowego, w Państwowej Inspekcji Pracy,
jako szefowie działów prawnych instytucji
finansowych, prawnicy in-house największych polskich
spółek publicznych, prawnicy kancelarii międzynarodowych
i krajowych, specjaliści do spraw przestępstw
gospodarczych w tym korupcji i współpracy
z organami ścigania.
Kim jesteśmy?
Gawroński & Partners
3

4. —Gawroński&Partners
Zakres kluczowych usług
Technologia & IP
Spory
gospodarcze
Sektor
finansowy
IT &
Technologia
Dane
osobowe
Prawo pracy
Własność
intelektualna
Energetyka Media i
reklama
4

5. —Gawroński&Partners
Maciej Gawroński
• ekspert danych osobowych, IT, cyberbezpieczeństwa, własności
intelektualnej, sporów
• ekspert Komisji Europejskiej ds. Kontraktów Cloud Computingowych
• konsultant Grupy Roboczej Artykułu 29 ds. transferów danych
• zaproponował odpowiedzialność podprzetwarzających (art. 82 RODO),
przenoszalność danych osobowych (art. 20 RODO), konsultował zasady
podpowierzenia (art. 28.2 i 28.4 RODO)
• doradzał przy największym w Polsce i Centralnej Europie projekcie
informatycznym w sektorze prywatnym jak i w setkach innych projektów IT
• główny autor treści modułu LEX Ochrona Danych Osobowych Wolters
Kluwer, https://www.ochrona-danych-osobowych.lex.pl/
• reprezentował Polskę i klientów prywatnych w sporach o wartości
miliardów euro
5
maciej.gawroński@gawronski.co
+48 609 602 566

6. —Gawroński&Partners
• Rekomendowany Ekspert Rankingu Kancelarii Prawniczych
Dziennika Rzeczpospolita 2017 w kategorii Technologia, Media i
Telekomunikacja
• Rekomendowany Ekspert Rankingu Chambers Europe 2017 w
kategorii Technologia, Media i Telekomunikacja
• Rekomendowany Ekspert Rankingu Best Lawyers 2016-17
w kategorii IT
• Rekomendowany Ekspert Rankingu Guide to the World's Leading
Lawyers 2016 w kategorii Technology, Media &
Telecommunications
• Rekomendowany Ekspert Rankingu Legal 500 2016 w kategorii
Technology, Media & Telecommunications
• Rekomendowany Ekspert Rankingu Who's Who Legal 100 2016
w kategorii Spory Patentowe w Naukach Przyrodniczych
Maciej Gawroński
6

7. —Gawroński&Partners
• głównie do sektora prywatnego
• tylko o obowiązkach administratorów i
przetwarzających
• 450 stron, w tym wzory dokumentów
• https://www.profinfo.pl/sklep/rodo-
przewodnik-ze-wzorami-
przedsprzedaz,72415.html
Warszawa, 09.04.2018 7
Już dostępna!

8. —Gawroński&Partners
• Administrator i przetwarzający – nowa relacja
• Podwykonawca – przetwarzający, administrator, czy współadministrator?
• Lepiej powierzać czy oddawać? lepiej brać w powierzenie czy odbierać?
• Gwarancje spełniania „wymogów rozporządzenia” – Co? Jak?
• Elementy nowej umowy
Warszawa, 09.04.2018 8
Agenda

9. —Gawroński&Partners
I. Nowa relacja
Warszawa, 09.04.2018 9

10. —Gawroński&Partners
Art. 28 ust 3 akapit 2 RODO
• …podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem
wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych
przepisów Unii lub państwa członkowskiego o ochronie danych
Art. 82
• Każda osoba […] ma prawo uzyskać od administratora lub podmiotu przetwarzającego
odszkodowanie za poniesioną szkodę…
• Podmiot przetwarzający odpowiada za szkody […] gdy nie dopełnił obowiązków, które
niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy
działał poza zgodnymi z prawem instrukcjami administratora…
• Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności
wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za
zdarzenie, które doprowadziło do powstania szkody
Warszawa, 09.04.2018 10
Współodpowiedzialność i wzajemny nadzór

11. —Gawroński&Partners
II. Podwykonawco, kim jesteś?
Warszawa, 09.04.2018 11

12. —Gawroński&Partners
• Adwokat i radca prawny wg ustawy o zmianie… (840 stron) to administrator
• Biuro księgowe wg ICO (ale nie według mnie) to administrator
• Multi-agent może być współadministratorem lub najpierw administratorem a potem
przetwarzającym pozostając administratorem
• Bank sprzedając usługi okołobankowe (leasing, ubezpieczenia etc) może być
administratorem a potem współadministratorem, może tez być przetwarzającym
• [przy okazji: Dane przedstawicieli oddajemy a nie powierzamy]
Warszawa, 09.04.2018 12
Podwykonawca – Processor, Co-Controller, Controller?

13. —Gawroński&Partners
III. Powierzać czy oddawać?
Warszawa, 09.04.2018 13

14. —Gawroński&Partners
• Odpowiedzialność cywilna i administracyjna objęła przetwarzających
• Przetwarzający odpowiada za legalność przetwarzania [uogólniając]
• Solidarnie odpowiadają każdy administrator i przetwarzający uczestniczący w tym
samym przetwarzaniu
• Odbiorca-administrator musi informować (art. 14 RODO)
• Przetwarzający nie może korzystać z danych do własnych celów
[ALE wbrew brzmieniu 28.3.a i 28.0 w rzeczywistości może legalnie wystąpić w
podwójnej roli względem tych samych danych]
Warszawa, 09.04.2018 14
Powierzać czy oddawać? Brać w powierzenie czy odbierać?

15. —Gawroński&Partners
IV. Wystarczające gwarancje?
Warszawa, 09.04.2018 15

16. —Gawroński&Partners
Art. 28 ust. 1 RODO:
• Administrator korzysta […] wyłącznie z usług takich podmiotów przetwarzających,
które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków
technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego
rozporządzenia i chroniło prawa osób…?
Czy tylko bezpieczeństwo (a w tym notyfikacja naruszeń)?
Czy także legalność?
Czy obsługa praw jednostki?
• Odpowiedź: raczej wszystko (analogia do 24 ust. 1 v 32 ust. 1)
Warszawa, 09.04.2018 16
Gwarancje spełnienia wymogów RODO – Co?

17. —Gawroński&Partners
• Odpytać o środki bezpieczeństwa i ocenę ryzyka lub narzucić własne i rozliczyć?
• Czy wystarczy standardowe prawnicze zaklęcie?
• Ustalić możliwości i procedurę obsługi żądań i naruszeń
• SLA i odpowiedzialność kontraktowa (tym bardziej, że jest „w miarę możliwości”)?
• Zażądać oświadczeń co do rzetelności i wywiązywania się z umów?
• Skorzystać z podejścia Pzp? referencje, opis doświadczeń etc?
• Dotychczasowa współpraca to dobra referencja (wg mnie)
• No i kodeksy i certyfikacja oczywiście
Warszawa, 09.04.2018 17
Gwarancje spełnienia wymogów RODO – Jak?

18. —Gawroński&Partners
V. Umowa powierzenia
Warszawa, 09.04.2018 18

19. —Gawroński&Partners
Forma pisemna, w tym elektroniczna
• emailem, online bez podpisu, na Whatsupie, pewnie też i SMSem
• Przetwarzanie na podstawie wyłącznie ustnych ustaleń będzie stanowiło naruszenie
przepisów RODO. awaryjnie pewnie można potwierdzić pisemnie ex post…
• Oryginalna propozycja „w tym elektroniczna” brzmiała 
"Written" means any text documented on paper or in any electronic form, and not
as a requirement of a formal signature whether handwritten or electronic
Warszawa, 09.04.2018 19
Forma – udokumentowana, znaczy chyba dokumentowa 

20. —Gawroński&Partners
I. OPIS PRZETWARZANIA
1. Przedmiot przetwarzania [Art. 28 ust. 3 RODO]
2. Czas przetwarzania [Art. 28 ust. 3 RODO]
3. Charakter i cel przetwarzania [Art. 28 ust. 3 RODO]
4. Rodzaj danych objętych przetwarzaniem [Art. 28 ust. 3 RODO]
5. Kategorie osób objętych przetwarzaniem [Art. 28 ust. 3 RODO]
Warszawa, 09.04.2018 20
Elementy umowy powierzenia przetwarzania danych (I)

21. —Gawroński&Partners
II. DALSZE PRZETWARZANIE
1. Wymóg zgody administratora na podpowierzenie [28.2.1]
2. Zgoda na listę [28.2.2 początek]
3. Obowiązek uprzedzenia o nowym podprzetwarzającym [28.2.2 środek]
4. Prawo sprzeciwu względem zmian w liście podprzetwarzających [28.2.2 koniec]
5. Obowiązek umowy i sklonowania obowiązków [28.4]
6. Czy można podlecić całość powierzenia, chyba nie [28.4., CNIL]
7. Prawo przejęcia świadczenia podprzetwarzającego przez administratora? [G&P]
Warszawa, 09.04.2018 21
Elementy umowy powierzenia przetwarzania danych (II)

22. —Gawroński&Partners
III. OBOWIĄZKI PRZETWARZAJĄCEGO
1. Działanie wyłącznie na udokumentowane polecenia [RODO.28.3.a]
2. Oświadczenie o nieprzetwarzaniu poza EOG [RODO.28.3.a]
3. Poinformowanie o zamiarze przetwarzania poza EOG [RODO.28.3.a]
4. Obowiązek prawny nałożony na Przetwarzającego [RODO. 28.3.a]
5. Zobowiązanie do zachowania tajemnicy [RODO.28.3.b]
6. Bezpieczeństwo [RODO.28.3.c]
7. Przestrzeganie warunków dalszego przetwarzania [RODO.28.3.d] – powtórzenie,
żeby kolejności nie zmieniać
8. Współpraca przy realizacji praw jednostki. [RODO.28.3.e]
Warszawa, 09.04.2018 22
Elementy umowy powierzenia przetwarzania danych (III)

23. —Gawroński&Partners
III. OBOWIĄZKI PRZETWARZAJĄCEGO
9. Wsparcie przy obowiązkach bezpieczeństwa [RODO.28.3.f]
10. Notyfikacja wątpliwości względem legalności poleceń, albo? [RODO 28.3 akapit 2]
11. Przetwarzający stosuje wymóg projektowanie prywatności [RODO 25.1. CNIL]
12. Przetwarzający zobowiązuje się do ograniczania dostępu [RODO 25.2 CNIL]
13. Rejestr kategorii przetwarzań – dostęp do wiersza o administratorze [RODO 30.2]
14. Informowanie o profilowaniu przez Przetwarzającego [RODO 13 i 14]
15. Potwierdzenie kompetencji [28.1]
Warszawa, 09.04.2018 23
Elementy umowy powierzenia przetwarzania danych (IV)

24. —Gawroński&Partners
IV. ŚRODOWISKO PRZETWARZANIA
1. Zobowiązanie i potwierdzenie legalności systemów, programów lub innych narzędzi
biorących udział w przetwarzaniu [ISO 27005 lub 29134 – ryzyko utraty ciągłości]
V. OBOWIĄZKI ADMINISTRATORA
1. Administrator zobowiązany jest współdziałać z Przetwarzającym [KC]
2. Administrator działa zgodnie z zasadami ochrony danych i realizuje prawa jednostki
[RODO.5]
Warszawa, 09.04.2018 24
Elementy umowy powierzenia przetwarzania danych (V)

25. —Gawroński&Partners
VI. BEZPIECZEŃSTWO DANYCH
1. Analiza ryzyka przetwarzania Danych [Art. 32 RODO]
2. Środki bezpieczeństwa [Art. 32 RODO]
3. Gwarancje bezpieczeństwa [RODO 28.1]
VII. CZASY REAKCJI
1. Powiadomienie o podejrzeniu naruszenia [GP]
2. Powiadomienie o stwierdzeniu naruszenia [33]
3. Powiadomienie o otrzymaniu żądania jednostki 48h [CNIL]
4. Plan ciągłości komunikacji dla dopełnienia terminów [G&P]
Warszawa, 09.04.2018 25
Elementy umowy powierzenia przetwarzania danych (VI)

26. —Gawroński&Partners
VIII. OSOBY KONTAKTOWE
1. Wyznaczenie osoby kontaktowej [G&P]
2. Dane osoby kontaktowej [G&P]
3. Awaryjny tryb informowania [G&P]
IX. NADZÓR
1. Sprawowanie kontroli [RODO 28.3.h]
2. Współpraca przy kontroli [RODO 28.3.h]
3. Udzielenie informacji [G&P]
Warszawa, 09.04.2018 26
Elementy umowy powierzenia przetwarzania danych (VII)

27. —Gawroński&Partners
X. OŚWIADCZENIE STRON
1. Oświadczenie Administratora o legalności [28.2.2 i 82.2]
2. Oświadczenie Przetwarzającego o wiarygodności [28.1]
3. Referencje [28.1., 28.3.h]
XI. ODPOWIEDZIALNOŚĆ
1. Odpowiedzialność Przetwarzającego [82.2]
2. Odpowiedzialność za Podprzetwarzającego [28.4]
XII. OKRES OBOWIĄZYWANIA UMOWY
1. Czas obowiązywania [28.3]
Warszawa, 09.04.2018 27
Elementy umowy powierzenia przetwarzania danych (VIII)

28. —Gawroński&Partners
XIV. USUNIĘCIE DANYCH
1. Zobowiązanie do usunięcia danych [RODO 28.3.g]
2. Karencja [GP]
3. Kopie zapasowe [GP]
4. Sposób usuwania danych [ISO 27018]
5. Oświadczenie o usunięciu danych [CNIL]
6. Prawny obowiązek pozostawienia danych [28.3.g]
XV. ZOBOWIĄZANIE DO ZACHOWANIA POUFNOŚCI
1. Zachowanie poufności stron umowy [G&P]
XVI. PRZEKAZANIE DANYCH PERSONELU
Krzyżowy obowiązek informacyjny względem personelu strony [G&P]
Warszawa, 09.04.2018 28
Elementy umowy powierzenia przetwarzania danych (IX)

29. —Gawroński&Partners
• http://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=3&Docume
ntTypeId=46
Warszawa, 09.04.2018 29
Dla leniwych?

30. —Gawroński&Partners
30
Zapraszamy do kontaktu
Gawroński & Partners s.k.a.
T: +48 22 243 49 53
E: info@gawronski.co
Al. Jana Pawła II 12
00-124 Warszawa
maciej.gawroński@gawronski.co
+48 609 602 566
Warszawa, 09.04.2018
DZIĘKUJĘ ZA UWAGĘ