Powierzenie przetwarzania danych osobowych musi zawsze mieć formę pisemną

Autor: Piotr Glen
Data: 25-06-2014 r.

W umowie powierzenia przetwarzania danych osobowych podmiotowi zewnętrznemu muszą być przede wszystkim opisane ramy takiej współpracy. Należy w niej także określać możliwość lub zakaz dalszego powierzania (podwykonawstwa) przetwarzania danych, a także wprowadzić zapisy gwarantujące, że czynności związane z przetwarzaniem informacji będą wykonywane zgodnie z polskimi prawem.

Jeżeli administrator chciałby zlecić przetwarzanie danych osobowych podmiotowi zewnętrznemu, może to zrobić wyłącznie na podstawie pisemnej umowy powierzenia przetwarzania danych. Wynika to z art. 31 ustawy o ochronie danych osobowych, który stanowi, że administrator danych może zlecić innemu podmiotowi przetwarzanie danych na podstawie umowy zawartej na piśmie. Przy czym podmiot, z którym zawarto taki kontrakt, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w tym dokumencie.

 

Administrator może zlecić przetwarzane danych zarówno osobie fizycznej, jak i osobie prawnej (firmie). Zarówno jedna, jak i druga musi jednak spełniać wymagania i posiadać zabezpieczenia określone w przepisach dotyczących ochrony danych osobowych. Przy czym pełną odpowiedzialność za przestrzeganie przepisów dotyczących przetwarzania danych zgodnie z prawem ponosi podmiot, któremu powierzono te informacje. Natomiast administrator danych może zapewnić sobie możliwość kontroli zgodności przetwarzania danych w podmiocie, któremu je powierzył do przetwarzania. Te i jeszcze kilka innych istotnych kwestii powinna dokładnie opisywać umowa powierzenia przetwarzania danych osobowych.

Forma umowy powierzenia przetwarzania danych osobowych

Formy umowy powierzenia przetwarzania danych osobowych mogą być różne. Załącznik, aneks, porozumienie lub wpisanie jej elementów do umowy głównej. Treść jednak powinna precyzyjnie określać kto, komu, jakie informacje i w jakim celu je przekazuje. Muszą też gwarantować dalszą, odpowiednią ochronę danych powierzonych do przetwarzania.

Sytuacji, w których przekazywane są bazy do dalszego przetwarzania, jest bardzo wiele. Powszechnym przykładem są usługi przechowywania danych (hosting), administrowanie systemem informatycznym lub wdrażanie oprogramowania służącego do przetwarzania danych osobowych przez firmy zewnętrzne czy chociażby korzystanie z usług zewnętrznych biur rachunkowych w zakresie prowadzenia spraw księgowo-prawnych.

Administrator danych dla własnego formalnego bezpieczeństwa musi opisać ramy takiej współpracy i mieć pewność, że powierzone przez niego informacje będą przetwarzane przez Procesora (kontrahenta) zgodnie z przepisami i nigdy nie zostaną wykorzystane do innych celów niż ten określony w umowie. Osoby, których dane dotyczą, również mają prawo sprawdzić co się z nimi dzieje, a także i uzyskać wyczerpującą informację na temat tego kto, jakie dane, w jakim celu, w jaki sposób i od kiedy je przetwarza. Może też zażądać informacji czy jego dane były gdzieś przekazane, a jeśli tak, to komu i na jakiej podstawie.

Podmiot, z którym została zawarta umowa powierzenia przetwarzania danych nie jest tzw. odbiorcą danych (w myśl art. 7 ust. 6 ustawy o ochronie danych) i o fakcie podpisania takiej umowy nie trzeba informować osób, których dane są przetwarzane. Nie jest też potrzebna od nich osobna zgoda na powierzenie.

Trzeba umieć odpowiedzieć na wyżej wymienione kwestie, jeśli osoby, których dane dotyczą, skorzystają z przysługującego im prawa do kontroli. Dlatego w przypadku powierzenia danych Administrator powinien zagwarantować sobie w umowie prawo do kontrolowania Procesora.

Podpowierzenie przetwarzania danych osobowych

Umowa powinna też określać możliwość lub zakaz dalszego podpowierzania (termin stosowany w przepisach, odpowiednik podwykonawstwa) przetwarzania danych. Jeżeli Procesor chciałby korzystać z usług dalszych podwykonawców, to musi uzyskać na to zgodę administratora danych.

Administrator powinien określić zakres danych i zakres czynności, jakie mogą być wykonywane na danych oraz cel ich przetwarzania. Podwykonawca nie może mieć większych uprawnień niż Procesor, czyli podmiot, któremu pierwotnie powierzono dane. Administrator nie może stracić statusu decydenta w zakresie celów i środków przetwarzania danych również na poziomie tzw. podpowierzenia. Jest to szczególnie istotne, ale czasami trudne do wyegzekwowania, w przypadku przetwarzania danych w chmurze (cloudcomputing).

Piotr Glen

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Array ( [docId] => 35200 )
Array ( [docId] => 35200 )