Podczas wielu wdrożeń informatycznych zewnętrzny kontrahent otrzymuje dostęp do danych osobowych przetwarzanych w systemach zamawiającego – taka sytuacja najczęściej ma miejsce przy pracach nad aplikacjami HR, CRM czy bazami danych. Z reguły zachodzi również proces odwrotny. Wykonawca udostępnia zleceniodawcy dane osobowe swoich pracowników, którzy będą zaangażowani w realizację projektu: personalia, posiadane kwalifikacje i certyfikaty.Umowa wdrożeniowa może przewidywać nawet przekazanie kompletnych życiorysów pracowników w celu optymalnego doboru zespołu.
Projekt IT z dostępem do danych osobowych wymaga dodatkowych klauzul
Kategoria: Ochrona danych osobowych
Data: 02-07-2014 r.
Jeśli wykonanie projektu informatycznego wiąże się z dostępem wykonawcy do baz zleceniodawcy, oprócz głównej umowy wdrożeniowej konieczne jest podpisanie również tzw. umowy powierzenia danych. Umowa o powierzenie danych powinna precyzować zobowiązania zleceniobiorcy w zakresie stosowanych zabezpieczeń.
Umowa powierzenia
Omawiana sytuacja wymaga pisemnego uregulowania, ponieważ mamy do czynienia z tzw. powierzeniem danych. Uprawniony do powierzenia jest administrator danych osobowych (ADO), który czynności przetwarzania może zlecić zewnętrznemu podmiotowi. Proces ten odbywa się na podstawie pisemnej umowy zawartej przez ADO z podmiotem, któremu dane zostają udostępnione. Z punktu widzenia przepisów o ochronie danych osobowych zamawiający jest administratorem danych osobowych zgromadzonych w ramach jego systemów, natomiast wykonawca jest administratorem danych swoich pracowników.
W omawianej sytuacji konieczne jest zawarcie dwóch umów powierzenia, ponieważ obie strony umowy wdrożeniowej udostępniają sobie nawzajem różne informacje podlegające ochronie. Każda ze stron jest zarówno administratorem danych, jak i podmiotem, któremu powierzono przetwarzanie. W praktyce stosowne zapisy można umieścić w jednym dokumencie i potraktować go jako załącznik do głównej umowy wdrożeniowej.
Powierzone dane mogą być, zgodnie z ustawą, przetwarzane wyłącznie w określonym celu i zakresie. Dlatego w umowie należy zawrzeć zapisy o zakresie przekazywanych informacji (rodzaj, kategorie danych) oraz celu ich przetwarzania (np. w związku z realizacją prac wdrożeniowych). Jeśli odbiorca danych wykroczy poza zapisy zawarte w umowie, będzie to naruszeniem przepisów ustawy. Za umyślne naruszenie przepisów ustawy grozi grzywna (10 tys. zł dla osób fizycznych prowadzących działalność gospodarczą, do 200 tys. zł dla osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej), ograniczenie albo pozbawienie wolności do lat 2.
Podwykonawstwo
Umowa o powierzenie powinna precyzować zobowiązania zleceniobiorcy w zakresie stosowanych zabezpieczeń. Warto, aby gwarantowała także prawo administratora danych do kontroli realizacji tych zobowiązań. W praktyce zdarza się, że wykonawca posługuje się podwykonawcami. Podpisany kontrakt powinien zatem regulować również zasady dalszego powierzenia przetwarzania danych (szerzej o specyfice umów powierzenia pisaliśmy w drugim numerze czasopisma w artykule „Przekazanie zbioru danych tylko na piśmie”).
Zobacz także:
Tagi: dane osobowe, administrator it
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
