Już dziś zapisz się do ZDS! Dealerzy - Instytucje Finansowe Wybieram ASO- zapraszamy! <b>Wspólne </b> rozmowy dealerów Kongres Dealerów 2018
/
Już dziś zapisz się do ZDS!
Dealerzy - Instytucje Finansowe
Wybieram ASO- zapraszamy!
Wspólne rozmowy dealerów
Kongres Dealerów 2018

Strefa członkowska

Newsletter

Jeśli chcesz otrzymać najnowsze
informacje wpisz swój adres e-mail

Pobierz cały raport (PDF)
dealerski przegląd prasy

Aktualności

RODO już za 2 miesiące – dlaczego dealer musi zawrzeć nawet kilkadziesiąt umów z podmiotami przetwarzającymi (procesorami)? 29 marca 2018
Każda firma dealerska w swojej codziennej działalności korzysta z oferty różnych usługodawców i podwykonawców. W zakresie w jakim świadczenie takich usług wymaga przetwarzania danych osobowych (czy to klientów, czy pracowników dealera), konieczne jest zawarcie oddzielnych umów, które RODO nazywa umowami z podmiotami przetwarzającymi.

I to wcale nie jest obowiązek który powstaje z dniem 25 maja. Już teraz ustawa z 1997 roku o ochronie danych osobowych w art. 31 przewiduje „umowę o powierzenie danych osobowych”. RODO natomiast nazywa ją „umową z podmiotem przetwarzającym”. Jest to jeden z tych obowiązków, o których nie każdy wie że istnieją już obecnie, a słyszy o nim dopiero w kontekście rozpoczęcia stosowania RODO i daty 25 maja. Oczywiście RODO, jak to RODO, znacznie rozbudowuje obwarowania dla takiej umowy oraz jednoznacznie przesądza, że odpowiedzialny za jej zawarcie jest administrator. Brak takiej umowy, kiedy jest ona wymagana, skutkować może oczywiście karą pieniężną.

RODO stanowi, że umowa musi określać przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

Jakie umowy będą dla dealera umowami z podmiotem przetwarzającym? Między innymi będzie to umowa z zewnętrzną księgowością, umowa o prowadzenie spraw z kancelarią prawną / firmą windykacyjną, umowa z zewnętrzną firmą marketingową (na przykład wysyłającą mailing lub prowadzącą badanie satysfakcji), umowa z firmą audytorską (w przypadku wszystkich audytów, a w przypadku audytów na zlecenie importera należy przyjąć, że umowa taka powinna być zawarta łącznie z importerem, z którym dealer występuje jako współadministrator), umowa z administratorem DMS/CRM, umowa z firmą HR / rekrutacyjną, umowa o świadczenie usług internetowych (np. miejsce na serwerze, poczta elektroniczna), umowa z dostawcami aplikacji / programów do profilowania preferencji klientów, umowa o archiwizację dokumentów, czy też umowa o niszczenie dokumentów.

Oczywiście umowy w których dealer jako administrator powierza dane podmiotom przetwarzającym (procesorom) to jedna strona medalu. Należy pamiętać, że dla innych administratorów to dealer jest procesorem i również musi zawrzeć tego typu umowy. Charakter taki mają między innymi umowy z bankami, firmami leasingowymi czy ubezpieczycielami, gdzie dealer pozyskuje dane klientów i przekazuje je do tych firm. Będą to więc wszystkie umowy w których dealer otrzymuje „z zewnątrz” dane osobowe do przetwarzania albo na podstawie których dealer dokonuje czynności ich pierwszego przetwarzania (np. zbierania), a nie robił by tego gdyby nie ta umowa. Na co należy zwrócić uwagę, to że często jest to niestety okazja do pozyskania od dealera informacji dotyczących zabezpieczeń, infrastruktury, procesów itd., które niekoniecznie są powiązane z danymi osobowymi.

Łącznie umów takich (w obie strony) może być więc nawet kilkadziesiąt. Obecnie trwa proces „przerzucania” się takimi umowami pomiędzy firmami dealerskimi i firmami z otoczenia naszej branży. Raz jeszcze należy powtórzyć – tam gdzie dealer jest administratorem danych i sam je powierza, tam to na nim spoczywa obowiązek zapewnienia odpowiedniej umowy i to dealer będzie z tego obowiązku rozliczany. W związku z tym konieczne jest przejrzenie wszystkich umów z zewnętrznymi usługodawcami i wdrożenie odpowiednich dokumentów.
Jakie są warunki konieczne takiej umowy? Przede wszystkim musi ona zawierać zobowiązania, że podmiot przetwarzający (procesor):

- przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora
- zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
- podejmuje wszelkie środki bezpieczeństwa przetwarzania
- biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą,
- po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie
- udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w umowie oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

Od razu należy wyjaśnić, że nie jest obowiązkowe, żeby umowa ta była w formie pisemnej, niemniej uznać to należy za formę optymalną. Nie ma również wymogu, żeby umowa taka była oddzielną umową o „głównej” umowy o świadczenie danej usługi, więc wyżej wymienione zapisy wymagane rozporządzeniem mogą zostać wciągnięte do takiej umowy (w formie aneksu). Duży problem nastręcza to w jaki sposób odróżnić pracownika, którego dealer zatrudnia na podstawie umowy tzw. cywilnoprawnej od zewnętrznego podmiotu przetwarzającego (procesora), a więc czy takiej osobie należy „tylko” wystawić upoważnienie do przetwarzania danych, czy też należy z nią zawrzeć umowę o powierzenie przetwarzania danych zawierającą wszystkie powyższe warunki.

Poruszone tu kwestie to tylko pobieżny opis problemu, który szczegółowo jest omawiany na szkoleniu „RODO dla dealerów”. Z racji dużego zainteresowania dealerów, Związek Dealerów Samochodów wraz z DCG Dealer Consulting organizuje dodatkowe szkolenie, które odbędzie się 24 kwietnia w Warszawie.

Koszt udziału w szkoleniu dla firm członkowskich Związku Dealerów Samochodów to 640 zł netto/os. (690 zł netto dla pozostałych).
Informacje szczegółowe, zgłoszenia:

https://www.miesiecznikdealer.pl/rodo/ 

« powrót