spis treści
zamknij
BHPEX Logo

Blog bezpieczeństwa w pracy

Powierzenie danych osobowych zewnętrznym firmom

19 sierpnia 2016 2

Zlecanie zewnętrznym kontrahentom wykonania usług, np. księgowych, czy kadrowych jest zjawiskiem powszechnym. Zawierając z nimi umowy, należy jednak pamiętać o obowiązku uregulowania kwestii związanych z powierzeniem im przetwarzania danych osobowych. Takie same zasady dotyczą powierzania „na zewnątrz”, np. usług windykacyjnych czy innych czynności.

Umowa o powierzenie danych

Zarówno przedsiębiorca, który zleca wykonanie usług „na zewnątrz”, np. biuru rachunkowemu, jak i podmiot, który takie dane otrzymuje, powinni zadbać o regulację kwestii, związanych z przetwarzaniem danych osobowych, które znajdują się w przekazywanych dokumentach. Administrator danych może powierzyć innemu podmiotowi (np. biuru rachunkowemu) przetwarzanie danych. Odbywa się to w drodze umowy zawartej na piśmie na podstawie art. 31 ustawy o ochronie danych osobowych.

W umowie o powierzenie przetwarzania danych muszą się znaleźć postanowienia dotyczące zakresu danych (ich rodzaju) i celu przetwarzania danych (do czego są przeznaczone). Podmiot, któremu powierzono przetwarzanie danych, może je wykorzystywać tylko i wyłącznie w zakresie i celu wskazanych w umowie. Administrator nie może powierzyć przetwarzania danych w szerszym zakresie, niż sam posiada.

W umowie można zawrzeć również inne postanowienia. W szczególności warto wprowadzić zapisy dotyczące możliwości przeprowadzenia przez powierzającego kontroli w zakresie przetwarzania danych. Powierzenie przetwarzania danych nie zwalnia bowiem administratora z odpowiedzialności w razie naruszenia przepisów ustawy.

Administrator danych może powierzyć przetwarzanie danych innemu podmiotowi, w drodze umowy zawartej na piśmie.

Zgłoszenie w GIODO

Administrator danych osobowych, czyli firma, która powierza innemu podmiotowi przetwarzanie danych, nie przestaje być administratorem tylko dlatego, że dane powierzyła „na zewnątrz”. Administrator nadal odpowiada za przestrzeganie ustawy o ochronie danych osobowych, w tym m. in. w zakresie dotyczącym zgłoszenia zbioru danych do rejestracji. Zgłaszając zbiór danych do rejestracji należy podać informację o tym, komu powierzono przetwarzanie danych osobowych. Jeśli zaś powierzenie dotyczy danych znajdujących się w już zarejestrowanym zbiorze, to trzeba poinformować GIODO o zaistniałej zmianie w terminie 30 dni. Jeżeli rejestr zbiorów danych prowadzi administrator bezpieczeństwa informacji, również musi on ująć w rejestrze informację o powierzeniu przetwarzania danych zewnętrznemu podmiotowi.

Obowiązki otrzymującego dane

Podmiot, któremu powierzono przetwarzanie danych, ma również szereg obowiązków. Choć nie jest administratorem tych danych, musi przetwarzać dane zgodnie z umową powierzenia. Oznacza to, że nie może on wykorzystywać ich do innych celów niż określono w umowie. Ma też obowiązki, związane z zabezpieczeniem danych i prowadzeniem dokumentacji.

Musi spełnić wymagania określone w rozporządzeniu MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne, służące do przetwarzania danych osobowych. W tym zakresie ponosi odpowiedzialność jak administrator danych i może zostać skontrolowany przez GIODO. Przed rozpoczęciem przetwarzania danych musi zastosować środki zabezpieczające zbiór danych, o których mowa w art. 36-39 ustawy o ochronie danych osobowych. W szczególności zobowiązany jest do:

  • prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne powzięte dla ich ochrony, na którą składa się polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,
  • dopuszczenia do przetwarzania danych wyłącznie osób posiadających upoważnienie nadane przez administratora danych,
  • prowadzenia ewidencji osób upoważnionych do przetwarzania danych.

Za naruszenie obowiązku zabezpieczenia danych, udostępnianie lub umożliwianie dostępu do danych osobom nieupoważnionym, grozi odpowiedzialność karna. Przestępstwem jest też udaremnianie lub utrudnianie wykonywania czynności kontrolnych inspektorom GIODO.

Osoby, których dane są przetwarzane

Osoby, których dane zostały w celu przetworzenia powierzone „na zewnątrz”, nie muszą być o tym fakcie informowane – ustawa nie nakłada takiego obowiązku. O tym, czy powierzenie odbyło się zgodnie z prawem decyduje to, czy nie naruszono zakresu i celu powierzenia danych zawartych w umowie między powierzającym, a otrzymującym dane.

„Przewidziana w art. 31 ustawy o ochronie danych instytucja powierzenia przetwarzania danych osobowych wymaga, by zlecającym był właśnie administrator danych, czyli podmiot aktualnie przetwarzający dane osobowe, a nie podmiot mający przetwarzać dane, gdyż tylko przetwarzający dane osobowe decyduje, jak tego wymaga ustawowa definicja administratora danych, o celach i środkach przetwarzania danych, a więc szeregu składających się na ten proces czynności, które mają miejsce, a nie, które zostaną przyjęte”.

Wyrok NSA z dnia 31 stycznia 2012 r., sygn. akt I OSK 1318/11

„W świetle postanowień ustawy o ochronie danych osobowych – art. 31 ust. 1 – administrator danych nie ma obowiązku powiadamiania osoby, której dane dotyczą, o powierzeniu jej danych, a co za tym idzie, nie musi on uzyskiwać od tej osoby odrębnej zgody na ww. powierzenie. Dla oceny legalności procesu przetwarzania danych poprzez powierzenie istotnym jest, czy takie powierzenie odbyło się zgodnie z zakresem oraz celem określonym w zawartej pomiędzy podmiotem powierzającym a podmiotem, który ma przetwarzać dane osobowe, umowie”.

Decyzja GIODO z dnia 27 lipca 2005 r., nr GI-DEC-DS-215/05

„Przepis art. 31 ustawy o ochronie danych osobowych upoważnia administratora danych do powierzenia, w drodze zawartej w formie pisemnej umowy przetwarzania tych danych innemu podmiotowi. Gdy administrator danych skorzysta z tego upoważnienia, dochodzi do zlecenia „na zewnątrz” przetwarzania danych. Podmiot, któremu administrator powierzył przetwarzanie danych, może je jednak przetwarzać wyłącznie w zakresie i celu określonych w umowie (art. 31 ust. 2 tej ustawy), jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39 ustawy, i spełnić wymagania określone w przepisach, o których mowa w art. 39a wskazanej ustawy”.

Decyzja GIODO z dnia 29 maja 2013 r., nr DOLiS/DEC-595/13/33662

Komentarze (2)

Treść komentarza

Witam,
Nasza firma specjalizuje się w świadczeniu usług jako zewnętrzny ABI. Pełnimy kompleksowy nadzór, przygotowujemy odpowiednią dokumentacje, prowadzimy wszystkie sprawy związane z ochroną danych osobowych. Zapraszam do skorzystania z naszych usług. Kontakt telefoniczny 68 411 40 00

Dodaj komentarz