31 Maj 2015

Powierzenie przetwarzania danych osobowych jako jedna z form przekazywania danych osobowych


Osoby prowadzące własne przedsiębiorstwo niejednokrotnie przekazują dane osobowe podmiotom trzecim. Wiąże się to z rosnącą popularnością zlecania podmiotom zewnętrznym działań, których przedsiębiorca z różnych przyczyn nie chce realizować we własnym zakresie. Aby jego działania były zgodne z prawem musi pamiętać o zasadach powierzenia przetwarzania danych osobowych oraz o obowiązkach wynikających z Ustawy o ochronie danych osobowych, jakie na nim ciążą.

Definicja powierzenia

Powierzenie przetwarzania danych osobowych jest zleceniem wykonania czynności przetwarzania danych osobowych przez podmiot zewnętrzny (procesor) na rzecz Administratora Danych na podstawie stosownego zapisu w umowie zapewniającego warunki bezpieczeństwa danych osobowych zgodnie z zapisami Ustawy o ochronie danych osobowych i Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych lub na podstawie odrębnej pisemnej umowy powierzenia przetwarzania danych osobowych zawartej zgodnie z art. 31 Ustawy o ochronie danych osobowych.

Zasady powierzenia przetwarzania danych osobowych

  1. Ustawa o ochronie danych osobowych na postawie art. 31 ust. 1 Ustawy zezwala Administratorowi Danych na powierzenie przetwarzania danych innemu podmiotowi na podstawie zawartej na piśmie umowy.
  2. Zapisy dotyczące powierzenia przetwarzania danych osobowych można zawrzeć w umowie głównej bądź w formie aneksu do umowy głównej lub w postaci odrębnej umowy powierzenia.
  3. Umowa powierzenia przetwarzania danych osobowych powinna zawierać zakres (katalog operacji wykonywanych na danych osobowych) i cel (przeznaczenie danych) przetwarzania danych osobowych.
  4. Procesor nie jest Administratorem Danych informacji, które mu powierzono. On przetwarza je w imieniu i za zgodą zleceniodawcy. W związku z powyższym może przetwarzać powierzone dane osobowe w zakresie i celu przewidzianym w umowie (art. 31 ust. 2).
  5. Procesor nie może angażować w proces przetwarzania powierzonych danych osobowych swoich podwykonawców chyba, że zostali oni uwzględnieni w umowie powierzenia przetwarzania danych osobowych lub została podpisana zgoda przez Administratora Danych na uwzględnienie podwykonawców w realizację zleconych zadań.
  6. Procesor ponosi odpowiedzialność za przetwarzanie danych osobowych niezgodnie z umową.

Obowiązki Administratora Danych

  1. Administrator Danych ponosi odpowiedzialność za powierzone do przetwarzania dane osobowe. W związku z powyższym ma on możliwość przeprowadzenia kontroli u procesora.
  2. Administrator Danych powinien prowadzić rejestr umów powierzenia przetwarzania danych osobowych.

Obowiązki procesora

Procesor jest zobowiązany do podjęcia środków zabezpieczających opisanych w art. 36-39c Ustawy o ochronie danych osobowych w stosunku do otrzymanych danych, co oznacza:

  • stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzania danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną,
  • zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem,
  • prowadzenie dokumentacji w postaci Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym,
  • wyznaczenie Administratora Bezpieczeństwa Informacji nadzorującego przestrzeganie zasad ochrony lub samodzielnie wykonywanie tych czynności,
  • dopuszczenie do przetwarzania danych jedynie osoby posiadające upoważnienie do przetwarzania danych osobowych,
  • prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
  • zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru danych oraz komu zostały przekazane.

Podsumowanie
Reasumując, z powierzeniem przetwarzania danych osobowych spotykamy się w rozlicznych działaniach związanych z przedmiotem naszej działalności. Aby zabezpieczyć własne interesy i ustrzec się przed negatywnymi skutkami przekazywania danych do nierzetelnych kontrahentów, zachęcam do podpisywania umów powierzenia przetwarzania danych osobowych. Pamiętajmy bowiem, że to Administrator Danych jest odpowiedzialny za zgodne z prawem przetwarzanie danych osobowych.