Powierzenie przetwarzania danych osobowych

piątek, 04 lipiec 2014 00:00

Powierzenie przetwarzania danych osobowych

wielkość czcionki Zmniejsz czcionkę Powiększ czcionkę

Oceń ten artykuł

(11 głosów)

Powierzenie przetwarzania danych osobowych

Firmy posiadające zbiory danych osobowych nie mają prawa udostępniać ich nieuprawnionym osobom trzecim. Cała ochrona danych osobowych opiera się właśnie na konieczności zabezpieczenia zbiorów danych przed wyciekiem, utratą czy kradzieżą. Jednak w niektórych przypadkach powierzenie przetwarzania danych osobowych innej firmie jest niezbędne do prawidłowego funkcjonowania przedsiębiorstwa.

Swoje zbiory powierzamy na przykład biuru rachunkowemu, które zapewnia nam obsługę księgową. Dostęp do tych danych ma również firma hostingowa udostępniająca nam serwer pod prowadzenie strony internetowej, na której zbieramy dane. W takich sytuacjach następuje powierzenie przetwarzania danych osobowych - przedsiębiorstwo będące właścicielem bazy danych ma obowiązek dopełnić wszystkich wymaganych przepisami prawa formalności związanych z udostępnieniem zbioru.

Outsourcing - zlecanie działań innym podmiotom zewnętrznym w celu np. redukcji kosztów.

Najczęstsze sytuacje, w których powierzamy przetwarzanie danych osobowych zewnętrznej firmie:

Hosting strony internetowej, z której dane osobowe są zbierane (np. sklep internetowy, forum, strona z zapisem na newsletter, serwer pocztowy, firmowa poczta e-mail itd.)
Świadczenie usług księgowych
Świadczenie usług kadrowo-płacowych
Świadczenie usług marketingowych
Świadczenie usług związanych z szeroko rozumianym działem IT
Korzystanie z zewnętrznych aplikacji internetowych, w których znajdują się dane osobowe
Podmiocie, któremu powierzamy przetwarzanie danych osobowych (nazwa firmy, adres itd.)
Celu powierzenia danych
Zakresie danych osobowych, które powierzamy (nazwa zbioru danych osobowych)

Wytyczne dotyczące powierzenia przetwarzania danych osobowych znajdują się

w art. 31 i 31a ustawy z 29 sierpnia 1997 o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926). W przepisie tym czytamy:

Art. 31. 1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.
2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.
4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.
5. Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19.

Art. 31a. W przypadku przetwarzania danych osobowych przez podmioty mające siedzibę albo miejsce zamieszkania w państwie trzecim, administrator danych jest obowiązany wyznaczyć swojego przedstawiciela w Rzeczypospolitej Polskiej.

Zgodnie z powyższymi wytycznymi, powierzenie przetwarzania danych osobowych musi być dokonane w formie umowy zawartej na piśmie. Umowa o powierzeniu przetwarzania danych osobowych musi zawierać informacje o:

Zapisy dotyczące powierzenia przetwarzania danych osobowych mogą być częścią składową umowy o świadczeniu usług lub stanowić odrębny dokument. Niektóre firmy mają zapis o powierzeniu standardowo we wzorze zawieranych umów.

Podmiot, któremu powierzamy przetwarzanie danych osobowych, nie staje się automatycznie Administratorem tych danych. Jednak ma takie same obowiązki dotyczące zabezpieczania baz, jak Administrator. Firma ta musi mieć swoją Politykę bezpieczeństwa informacji, Instrukcję zarządzania systemem informatycznym oraz Ewidencję osób upoważnionych do przetwarzania danych osobowych. Ponadto zewnętrzny podmiot musi mieć własnego Administratora Bezpieczeństwa Informacji. W skrócie można powiedzieć, iż firma, której powierzamy przetwarzanie danych osobowych musi przestrzegać wytycznych ustawy o ochronie danych osobowych oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).

Podmiot, któremu powierzamy przetwarzanie danych osobowych z naszej bazy, ponosi taką samą odpowiedzialność za bezpieczeństwo tych danych, co Administrator Danych Osobowych. Należy jednak pamiętać, że zgodnie z art. 31 ust. 4 ustawy, w przypadku naruszenia zasad ochrony danych osobowych przez firmę świadczącą nam usługi odpowiedzialność ponosi zarówno usługodawca, jak i firma powierzająca dane. Jeśli więc po podpisaniu umowy okaże się, iż podmiot wykonujący dla nas outsourcing nie ma wdrożonych środków do ochrony danych osobowych, będziemy ponosić odpowiedzialność za ewentualne szkody wynikające z niespełnienia przez tę firmę wytycznych GIODO. Warto więc jeszcze przed podpisaniem umowy o powierzeniu przetwarzania danych osobowych zorientować się, czy dany usługodawca rzeczywiście prowadzi firmę zgodnie z wytycznymi Generalnego Inspektora.

Hosting strony internetowej

W niektórych przypadkach zawarcie umowy o powierzenie przetwarzania danych osobowych z firmą świadczącą usługi hostingowe nie jest konieczne. Dzieje się tak w przypadku, gdy korzystamy z serwera dedykowanego - dostęp do takiego serwera mamy wyłącznie my. Firma hostingowa tylko dostarcza nam łącze, natomiast cała obsługa leży po naszej stronie. Hostingodawca jest przy tym zobowiązany do dostarczenia nam wykazu środków używanych do zabezpieczenia serwerów. Jeśli jednak korzystamy z serwera współdzielonego, a hostingodawca może mieć jakikolwiek dostęp do danych osobowych znajdujących się na tym serwerze, umowa o powierzeniu przetwarzania danych osobowych jest konieczna. Już samo wykonywanie kopii zapasowych przez hostingodawcę stanowi przesłankę do zawarcia takiej umowy.

Świadczenie usług księgowych

W większości sytuacji biuro rachunkowe świadcząc nam usługi księgowe przetwarza dane osobowe naszych klientów. Często też zajmuje się przechowywaniem dokumentów, które te dane zawierają, na przykład faktur. Należy pamiętać, iż zawarcie umowy o powierzeniu przetwarzania danych osobowych z biurem rachunkowym jest konieczne nawet wtedy, gdy posiadany przez nas zbiór nie podlega rejestracji w GIODO. Biuro rachunkowe, z którego usług korzystamy, również powinno mieć wdrożone środki zapewniające bezpieczeństwo przetwarzanych danych.

Świadczenie usług kadrowo-płacowych

Podobnie jak w przypadku świadczenia usług księgowych, z firmą prowadzącą nasze kadry i płace należy zawrzeć umowę o powierzeniu. Zwykle zarówno pierwsze, jak i drugie usługi świadczy to samo biuro rachunkowe, wystarczy więc zawrzeć jedną umowę.

Świadczenie usług marketingowych

Zlecanie outsourcingu działań marketingowych zewnętrznym firmom jest bardzo popularne. Nie każdy ma czas i umiejętności, by samemu prowadzić kampanie reklamowe, programy partnerskie itd. Jeśli firma świadcząca usługi marketingowe działa na naszym zbiorze danych osobowych, mamy obowiązek podpisać z nią umowę o powierzeniu. Przykładem takich usług może być zlecenie prowadzenia mailingu na własnym zbiorze danych. Sporo przedsiębiorstw zleca innym firmom wysyłkę gadżetów reklamowych do swoich klientów lub prowadzenie programu partnerskiego. Jedną z powszechnych praktyk jest też korzystanie z usług call-center, np. telemarketingu lub działu obsługi klienta.

Warto przy tym podkreślić, iż umowy o powierzenie nie trzeba zawierać z firmą świadczącą usługi marketingowe, która korzysta z własnych baz danych.

Świadczenie usług związanych z szeroko rozumianym działem IT

Jeśli korzystamy z usług firmy, która w jakikolwiek sposób ma dostęp do komputerów, na których przechowujemy dane osobowe, mamy obowiązek zawrzeć z nią umowę o powierzeniu. Taka sytuacja ma miejsce na przykład wtedy, gdy zewnętrzna firma zapewnia nam obsługę serwera dedykowanego lub wirtualnego. Podobnie w przypadku serwisowania sprzętów komputerowych, na których znajdują się zbiory danych osobowych podlegających ochronie. Wiele firm informatycznych oferuje pomoc zdalną - udostępniamy specjaliście dostęp do naszego pulpitu, a specjalista stara się rozwiązać problem, który wystąpił - w takim przypadku zewnętrzna firma również ma dostęp do danych osobowych, które przechowujemy na komputerze - zawarcie umowy o powierzeniu jest konieczne. W dobie rozwoju techniki takich przypadków może być coraz więcej, dlatego warto zastanowić się, czy firma informatyczna, z której usługi chcemy skorzystać, będzie miała nawet potencjalny dostęp do zbiorów danych osobowych podlegających ochronie.

Korzystanie z zewnętrznych aplikacji internetowych, w których znajdują się dane osobowe

Sporo przedsiębiorstw korzysta z różnych aplikacji internetowych, np. autorespondera, programów do prowadzenia księgowości on-line czy abonamentowych platform sklepów internetowych. Wprawdzie korzystając z takich aplikacji sami pracujemy na swoich danych, jednak firma, która udostępnia nam tę aplikację, ma dostęp do danych, które wprowadzamy. Poza tym podmioty te zazwyczaj prowadzą działania mające na celu utrzymanie usługi, np. wykonują kopie bezpieczeństwa. W takich przypadkach również konieczne jest zawarcie umowy o powierzenie przetwarzania danych osobowych z firmą udostępniającą aplikację.

Czytany 8301 razy Ostatnio zmieniany czwartek, 24 lipiec 2014 21:28

Dział: Ochrona danych - GIODO

Artykuły powiązane

Ochrona danych osobowych RODO
Nowe przepisy unijne nakładają na wszystkich przedsiębiorców i wszystkie podmioty publiczne gromadzące i przetwarzające dane osobowe nowe obowiązki zawiązane z zachowaniem bezpieczeństwa tych danych. Sprawdź, kogo obejmuje RODO, jakie wymagania stawia, z jakimi karami wiąże się jego nieprzestrzeganie i co zrobić, aby tych kar uniknąć. Poznaj też oprogramowanie dla firm gotowe na RODO.
Poziomy bezpieczeństwa systemu informatycznego
Zgodnie z art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926), Administrator Danych Osobowych ma obowiązek
Zmiany w bazach danych osobowych - zgłaszanie do GIODO
W pewnych przypadkach bazę danych osobowych zgłoszoną do GIODO będzie trzeba uaktualnić. Jak wspomnieliśmy w artykule o Instrukcji zarządzenia systemem informatycznym, nie wymagają zgłaszania zmiany w dokumentach takich jak wspomniana instrukcja czy Polityka bezpieczeństwa informacji.
Instrukcja zarządzania systemem informatycznym - jak ją opracować?
Kolejnym dokumentem, który należy dołączyć do wniosku rejestracyjnego do GIODO, jest Instrukcja zarządzania systemem informatycznym. Zgodnie z § 3 ust. 1 rozporządzenia, instrukcja ta jest ważną częścią dokumentacji opisującej sposób przetwarzania danych osobowych w firmie oraz środki techniczne i organizacyjne, które mają zapewnić tym danym ochronę.
Ochrona danych osobowych w firmie
Praktycznie każda firma w większym lub mniejszym stopniu ma do czynienia z danymi osobowymi. Gromadzone i przetwarzane są dane dotyczące pracowników, klientów i kontrahentów. Wiele firm wykorzystuje posiadane dane osobowe w celach marketingowych, np. wysyłania e-maili z ofertami do osób, które już kiedyś kupiły produkt lub skorzystały z usługi firmy.