Powierzanie cennych informacji – komu i kiedy?

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

Firmy coraz częściej korzystają z usług podwykonawców –  informatyków, prawników, księgowych oraz innych specjalistów. W takich sytuacjach nie da się uniknąć przekazania danych osobowych na zewnątrz, czyli powierzenia ich przetwarzania, zarówno realnie, jak i wirtualnie. Aby ten proces był zgodny z prawem konieczne jest zawarcie umowy pomiędzy administratorem danych a podmiotem je przyjmującym.

Nowe obowiązki dla procesora

Aktualnie wszelkie umowy ramowe konstruowane są w taki sposób, by przede wszystkim chronić interesy dostawcy usługi, a nie klienta. Podwykonawcy w celu ograniczenia swoich wydatków nierzadko lekceważą istotę tego procesu i nie zapewniają należytej kontroli nad tym kto, kiedy i do czego ma dostęp w trakcie wykonywania zlecenia. Do tej pory umowa z podmiotem przetwarzającym dane osobowe w imieniu administratora musiała być zawierana w formie pisemnej. Niedługo się to zmieni.

Zgodnie z motywem 81 RODO przetwarzanie danych przez procesora powinno być regulowane umową lub innym instrumentem prawnym, który będzie wiązał podmiot przetwarzający i administratora. Określony zostanie wówczas przedmiot, czas trwania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą oraz obowiązki i prawa administratora –  mówi adw. Marcin Zadrożny Fundacja Wiedza To bezpieczeństwo.

Unijne rozporządzenie dodatkowo wskazuje, że nie będzie można powierzać dalej przetwarzanych danych osobowych bez zgody ich administratora. W przypadku ogólnej pisemnej zgody firma, której powierzono dane, będzie miała obowiązek poinformować ich właściciela o wszelkich zamierzonych zmianach dotyczących nowych podmiotów.

Podmiot przetwarzający zobowiązany będzie do zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniło wymagania rozporządzenia i chroniło prawa osób, których dane dotyczą. Co istotne, administrator danych będzie mógł korzystać tylko i wyłącznie z takich podmiotów świadczących usługi, które dają takie gwarancje.  – mówi adw. Marcin Zadrożny Fundacja Wiedza To bezpieczeństwo.

 

 

Kwestia odpowiedzialności

Podczas powierzania danych najistotniejszym aspektem jest ich zabezpieczenie. Odpowiedzialność za nadzór nad podwykonawcami spoczywa przede wszystkim na osobie, która z ich usług korzysta. Czy to w przypadku usługi kadrowo-płacowej, czy powierzania danych w środowisku wirtualnym, np. korzystając z popularnej chmury.

Administratorzy danych mogą oczekiwać od dostawców oprogramowania, żeby ich produkty spełniały wymagania RODO. Całkowitej odpowiedzialności administrator nigdy nie przeniesie na dostawcę technologii, ale wykorzystanie chmury przenosi jej część na dostawcę usługi, a samemu administratorowi w znaczący sposób ułatwia życie. Zamiast śledzenia mechanizmów zabezpieczających, wymaganych przez poszczególne standardy lub regulacje osobno, najlepsza praktyka polega na zidentyfikowaniu całego zbioru mechanizmów i funkcji zabezpieczających zapewniających, spełnienie wymagań prawnych. Dlatego zamiast dokonywania oceny poszczególnych technologii i rozwiązań pod kątem spełnienia wymagań tak kompleksowej regulacji jak RODO, lepszym podejściem może być oparcie się na platformie – na przykład obejmującej Windows, Microsoft SQL Server, SharePoint, Exchange, Office 365, Azure i Dynamics 365 – celem łatwiejszego zapewnienia zgodności nie tylko z RODO, ale również spełnienia innych ważnych wymagań – dodaje Michał Jaworski, Dyrektor ds. Strategii Technologicznej w polskim oddziale Microsoft.

Rozporządzenie wyraźnie podkreśla, że jeżeli procesor naruszy przepisy RODO przy określaniu celów i sposobu przetwarzania, zostanie potraktowany tak jak ich administrator – podmiot, który przekazał dane. Dlatego wszystkie przedsiębiorstwa powinny dokładnie zinwentaryzować przypadki powierzenia danych i porównać je z nowymi regulacjami wprowadzanymi przez unijne rozporządzenie. Jeżeli okaże się, że umowy nie spełniają wszystkich norm, powinny zostać zaaneksowane.

Udostępnianie danych dotyczy prozaicznych codziennych czynności, jaką jest m.in. korzystanie z usług firm kurierskich, którym przekazujemy dane osobowe – dane, tak naprawdę niezbędne do zawarcia i realizacji umowy przewozu. Przewoźnik , któremu udostępniono dane w celu wykonania przewozu jest ich administratorem  – odpowiada za bezpieczeństwo takich danych, sprawuje nad nimi pełną kontrolę, przetwarza je zgodnie z celem w jakim zostały udostępnione. W przypadku DHL Express zgodnie z wymogami ustawy o ochronie danych osobowych i innych aktów wykonawczych stosowane są liczne środki techniczne i organizacyjne mające na celu zapewnienie ochrony udostępnionych danych – wskazuje Piotr Kozak, Security Manager, DHL Express (Poland) Sp. z o.o., Security Department – International

Podmioty przetwarzające dane osobowe usługowo, np. biura księgowe czy call center, powinny szczególnie przyłożyć się do analizy nowego prawa, gdyż nakłada na nie sporo nowych obowiązków.

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Jak upały wpływają na gospodarkę i biznes

Gdy temperatura rośnie, spada nie tylko komfort pracy. Ekstremalne...

Rynek pracy w Polsce: które zawody dominują, gdzie brakuje młodych i kogo zastąpi AI

Główny Urząd Statystyczny opublikował pierwsze tak szczegółowe zestawienie zawodów...

Czy boom na AI pęknie? Prognoza na III kwartał dla giełd, złota i ropy

Koniec II kwartału przyniósł mocne odbicie akcji spółek związanych...

Koniec last minute? Kryzys paliwowy może podnieść ceny biletów lotniczych

Niekoniecznie w domu, ale jeśli wyjazd to: na krócej,...

TFI zarobiły 1,4 mld zł. Zysk branży wyższy o 38 proc.

Towarzystwa funduszy inwestycyjnych zamknęły 2025 r. najlepszym wynikiem w...
Wiadomości

AI i prawo autorskie w firmie. Na co muszą uważać przedsiębiorcy?

Prawo autorskie przez lata kojarzyło się głównie z książkami,...

Większość polskich patentów nie jest komercjalizowana. Tylko co czwarty trafia na rynek

Jakie są losy wynalazków po uzyskaniu ochrony patentowej? Które...

Proces wygrany, reputacja przegrana? Jak przedsiębiorca powinien reagować na krytykę influencera

Spór wokół działalności internetowego twórcy Książulo oraz kolejne publiczne...

UODO: właściciel kamery nie może bez podstawy nagrywać sąsiadów i przechodniów

Osoba, która nie wykonała nakazu Prezesa Urzędu Ochrony Danych...

UODO chce zmian w Policji. Chodzi o odciski palców i profile DNA funkcjonariuszy

Prezes Urzędu Ochrony Danych Osobowych domaga się zmiany przepisów...

Reforma ROP do poprawy. Projekt UC100 może naruszać prawo UE

Projekt ustawy o opakowaniach i odpadach opakowaniowych (UC100) wymaga...

Nowa definicja mobbingu – czy pracodawcy rzeczywiście mają się czego obawiać?

Senat przyjął bez poprawek ustawę zmieniającą przepisy Kodeksu pracy...
Coś dla Ciebie

Wybrane kategorie