Powierzenie przetwarzania danych osobowych

W ochronie danych osobowych istnieje takie zjawisko jak powierzenie przetwarzania danych osobowych. Dochodzi do niego wtedy, kiedy udostępniamy innemu podmiotowi zebrane przez nas dane osobowe w celu wykonania określonej czynności lub usługi.

Prostym przykładem może być korzystanie z usług hostingowych. Nasza firma nie musi stawiać swojej własnej serwerowni, aby korzystać z funkcjonalności posiadania poczty e-mail, strony www czy sklepu internetowego. Jednak nie tylko hosting podlega umowie o powierzeniu. Śmiało można stwierdzić, że powierzeniu podlega outsourcing, którego działania polegają na korzystaniu z lub dostępie do danych osobowych naszych kontrahentów – szczególnie odbiorców. Innym przykładem powierzenia danych osobowych jest przekazanie dokumentów do biura rachunkowego (dane pracowników i kontrahentów). Jeszcze inny przykład to oddanie komputera/ów do serwisu lub wizyta informatyka w firmie. Z tego typu usług z pewnością korzysta większość przedsiębiorców. Są to przykłady modelowego powierzenia przetwarzania danych osobowych.

Bezsporny jest fakt, że na fakturach znajdują się dane osobowe przedsiębiorców. Zgodnie z obowiązującym prawem, od stycznia 2012 roku zostały one włączone pod ustawę o ochronie danych osobowych, w związku z powyższym administrator danych musi zastosować wszystkie wymagania z ustawy. Jedną z nich jest właśnie zawarcie takiej umowy.

Wydaje się, że w sumie to nic takiego?

Wydaje się - z badań przeprowadzonych wśród biur rachunkowych w Polsce, tylko 25% spełnia wymogi, aby taką umowę zawrzeć!

Szanowny czytelniku, przedsiębiorco - ustawa dotyczy wszystkich!

Do zawarcia umowy o powierzeniu obie strony powinny mieć wdrożony cały system związany z ochroną danych osobowych przedstawiony w podstawowej dokumentacji, czyli polityce bezpieczeństwa informacji i instrukcji zarządzania systemem informatycznym. Wymóg ten dotyczy WSZYSTKICH!! Bez względu na to, czy zbiory podlegają zgłoszeniu do GIODO, czy są z tego zgłoszenia wyłączone.

Kolejnym OBOWIĄZKIEM jest założenie ewidencji osób upoważnionych do przetwarzania danych oraz wyznaczenie osoby pełniącej nadzór nad bezpieczeństwem przetwarzania danych osobowych – Administratora bezpieczeństwa informacji. Zgłoszenie zbiorów danych osobowych do GIODO, może być kolejnym krokiem.

Ustawodawca przewidział kary finansowe do 50 000 zł (słownie: pięćdziesiąt tysięcy zł) nakładane i egzekwowane w trybie administracyjnym – czyli bez sądu!! „Dobra wiadomość” jest taka, że można być ukaranym jedynie 4 razy…

Zobacz także artykuły...

• Czym jest Przetwarzanie Danych Osobowych...
• GIODO i PIP łączą siły...