Decyzja GIODO w sprawie wyrażenia zgody na przekazanie przez A. S.A., z siedzibą w W. danych osobowych do M., Inc., z siedzibą w Stanach Zjednoczonych Ameryki, pod adresem: N., zwanego dalej Odbiorcą, na podstawie zastosowanych standardowych klauzul umownych stanowiących załącznik do decyzji Komisji Europejskiej 2010/87/UE z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich, na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. UE L 39, z 12.02.2010), A. S.A., z siedzibą w W., złożyła wniosek do GIODO , zwaną dalej Wnioskodawcą lub Spółką, o przekazanie danych osobowych do M., Inc., z siedzibą w Stanach Zjednoczonych Ameryki, pod adresem: N..
Wnioskodawca jest spółką posiadającą siedzibę na terytorium Rzeczypospolitej Polskiej; Wnioskodawca zawarł z Odbiorcą umowę wzorowaną na standardowych klauzulach umownych stanowiących załącznik do decyzji Komisji Europejskiej 2010/87/UE z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich, na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz.UE L 39, z 12.02.2010).
1. Przekazanie danych będzie się odbywało na zasadach ich powierzenia w rozumieniu art. 31 ustawy a będą przekazane dane osobowe, dotyczące następujących kategorii osób: a) Kontrahenci sensu stricto Wnioskodawcy, obejmująca: osoby fizyczne prowadzące działalność gospodarczą lub też nieprowadzące jej, które na mocy zawartych umów cywilnoprawnych świadczą na rzecz Wnioskodawcy, różnego rodzaju usługi niezwiązane bezpośrednio z przedmiotem działalności Wnioskodawcy (np. sprzątanie, pielęgnacja roślin, indywidualne usługi kurierskie, usługi IT);
b) Agenci Wnioskodawcy – osoby fizyczne świadczące usługi
pośrednictwa przy zbywaniu jednostek uczestnictwa dobrowolnego funduszu emerytalnego w rozumieniu obowiązujących przepisów prawa na podstawie zawartych umów agencyjnych z Wnioskodawcą, które to umowy związane są z przedmiotem działalności Wnioskodawcy;
3. Będą przekazane następujące kategorie danych: podstawowe informacje o osobie, której dane dotyczą (obejmujące: imię, nazwisko, adres zamieszkania, adres poczty elektronicznej, numer telefonu kontaktowego), a także dane związane z realizowaniem płatności (obejmujące numer rachunku bankowego, numer NIP, kwotę oraz rodzaj waluty płatności);
4. Dane będą przekazane w celu korzystania z modułu księgowego aplikacji P., która jest narzędziem zaprojektowanym jako długoterminowe rozwiązanie w obszarze księgowości;
Wnioskodawca w piśmie z dnia […] września 2014 r. oświadczył, że Odbiorca należy do programu Bezpiecznej Przystani w węższym zakresie, niż to określono we wniosku, tj. stosuje on zasady tego programu wyłącznie w odniesieniu do danych związanych z zatrudnieniem a nie będą przekazywane dane szczególnie chronione w rozumieniu ustawy;
Wykorzystywane przez Odbiorcę systemy informatyczne co do zasady spełniają wymogi rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r., Nr 100, poz. 1024), zwanego dalej rozporządzeniem, jednak system nie zapewnia przewidzianego w § 7 rozporządzenia odnotowania: źródła danych, gdyż są one zbierane od osób, których one dotyczą, jak również sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy, gdyż dane są przetwarzane w celach prowadzenia rachunkowości na podstawie przepisów prawa, tym samym w tym zakresie to uprawnienie nie przysługuje.
Wskazówki GIODO:
Zgodnie z art. 47 ust. 1 ustawy, przekazanie danych osobowych
do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych oceniany z uwzględnieniem wszystkich okoliczności dotyczących operacji przekazania danych, w szczególności biorąc pod uwagę: – charakter danych – cel – czas trwania proponowanych operacji przetwarzania danych – kraj pochodzenia – kraj ostatecznego przeznaczenia danych – przepisy prawa obowiązujące w danym państwie trzecim – stosowane w tym państwie środki bezpieczeństwa i zasady zawodowe (art. 47 ust. 1a ustawy).
Przekazywanie danych osobowych do państwa trzeciego, które nie zapewnia takiego poziomu ochrony z zasady może nastąpić tylko wtedy, gdy zostaną spełnione dodatkowe przesłanki określone w art. 47 ust. 2 lub 3 ustawy.
Natomiast, jeżeli w danym przypadku one nie zachodzą, to przekazanie danych osobowych może mieć miejsce tylko po uzyskaniu zgody Generalnego Inspektora, pod warunkiem, że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą (art. 48 ustawy) Państwo trzecie, w którym siedzibę ma Odbiorca z racji braku wystarczających uregulowań prawnych dotyczących ochrony danych osobowych, nie może być uznane za państwo zapewniające odpowiedni poziom ochrony danych osobowych, jak również w świetle zebranych materiałów dowodowych nie zachodzi żadna z przesłanek określonych w art. 47 ust. 2 lub 3 ustawy – w konsekwencji konieczne jest uzyskanie zgody Generalnego Inspektora.
Generalny Inspektor, rozpatrując wniosek o wyrażenie zgody na przekazanie danych do państwa trzeciego, jest zobowiązany ustalić, czy administrator danych zapewnił odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.
Ze względu na to, że zapewnienie odpowiednich zabezpieczeń może wiązać się z przyjęciem odpowiednich zobowiązań umownych, Generalny Inspektor musi również przeanalizować odpowiednie postanowienia umowne.
Biorąc pod uwagę możliwość zastosowania takiego rozwiązania przez Wnioskodawcę należy wskazać na kompetencję Komisji Europejskiej, która na mocy art. 26 ust. 4 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. WE L 281, z 23.11.1995), zwanej alej dyrektywą, jest uprawniona do uznania w drodze decyzji, że określone standardowe klauzule umowne zapewniają odpowiednią ochronę danych osobowych oraz praw i wolności jednostek. Decyzje te wymagają, aby państwa członkowskie nie odmawiały uznania zabezpieczeń ustanowionych w standardowych klauzulach umownych określonych w decyzjach za zapewniające odpowiednie gwarancje ochrony prywatności oraz podstawowych praw i wolności osób fizycznych oraz wykonywania odpowiednich praw zgodnie z wymogami art. 26 ust. 2 dyrektywy. Nie wyłącza to jednak obowiązku spełnienia pozostałych wymogów nałożonych przez właściwe przepisy krajowe. Taki charakter ma również przywołana przez Spółkę decyzja Komisji 2010/87/UE.
Zadeklarowane przez Spółkę zastosowanie standardowych klauzul umownych określonych
decyzją Komisji 2010/87/UE powoduje konieczność porównania przez Generalnego Inspektora przyjętych przez Spółkę klauzul ze standardowymi klauzulami umownymi. Analiza ta wykazała, że przedstawione przez Spółkę klauzule są zgodne ze standardowymi klauzulami umownymi.
GIODO wskutek analizy ocenił, iż stosowane przez Spółkę środki organizacyjno-techniczne mające na celu zabezpieczenie przetwarzanych danych osobowych. Art. 48 ustawy wskazuje, że zastosowane przez odbiorcę danych środki organizacyjno-techniczne muszą być „odpowiednie” (adekwatne). Środki te nie muszą być identyczne do tych, które są wymagane na terytorium Rzeczpospolitej Polskiej – powinny one adekwatnie zabezpieczać prywatność oraz prawa i wolności osoby, której dane dotyczą.
Jeżeli środki te różnią się od rozwiązań przyjętych w rozporządzeniu, podlegają one każdorazowo ocenie Generalnego Inspektora. Po dokonaniu ich analizy Generalny Inspektor stwierdził, że przedstawione przez Spółkę środki zapewniają odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.
Spółka przekazując dane w ramach powierzenia nie traci przymiotu ich administratora.
Przedmiotowa sprawa dotyczy powierzenia przetwarzania danych osobowych w rozumieniu art. 31 ustawy – odpowiada ona za zgodność z prawem przetwarzanych danych.
Przepisy art. 47 i 48 ustawy wprowadzają dodatkowe wymogi, które należy spełnić, gdy zamierza się przekazać dane osobowe do państwa trzeciego. Konieczność ich wypełnienia nie zwalnia administratora danych z pozostałych obowiązków nałożonych na niego przepisami ustawy.
Decyzja Generalnego Inspektora w przedmiocie wyrażenia zgody na przekazanie danych osobowych do państwa trzeciego nie legalizuje wcześniejszego przekazania danych osobowych do państwa trzeciego, które ewentualnie miałoby miejsce przed datą wydania decyzji w sprawie.
Rozpoczęcie operacji przekazania danych osobowych do państwa trzeciego może nastąpić dopiero po wydaniu stosownej decyzji przez Generalnego Inspektora. Niniejsza decyzja upoważnia Spółkę do przekazania danych osobowych do państw trzecich jedynie na warunkach określonych w złożonym wniosku.
Podsumowanie
Nie w każdej sytuacji przekazywania danych osobowych do państw trzecich jest wymagana zgoda GIODO
Administrator, który korzysta z niezmodyfikowanych standardowych klauzul umownych nie musi występować o taką zgodę.
Jeżeli administrator i odbiorca zdecydują się na wprowadzenie modyfikacji do tekstu standardowych klauzul umownych, konieczne będzie uzyskanie zgody GIODO na transfer danych.
Każdy przedsiębiorca, który przetwarza dane osobowe swoich klientów podlega reżimowi Ustawy o ochronie danych osobowych. W Polsce w dalszym ciągu ciągle króluje nieświadomość w zakresie tego jakie obowiązki nałożył na firmę ustawodawca i z tego powodu większość przedsiębiorców naraża się na przykre konsekwencje prawne. Nie ma co się dziwić, ciężko być specjalistą w każdej dziedzinie. Poniżej pokrótce wyjaśnimy na czym polega obowiązek zgłoszeniowy do GIODO.
Kto podlega obowiązkowi rejestracji w GIODO?
Każdy przedsiębiorca przetwarzając dane osobowe klientów staje się Administratorem Danych Osobowych i jako ten jest zobowiązany zgłosić zbiory danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (art. 40 uodo). Art. 40. Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1.
Ważne by obowiązek rejestracji zbiorów danych osobowych spełnić jeszcze przed rozpoczęciem właściwej działalności (art.46 ust.1 uodo ), czyli rozpoczęciem faktycznej sprzedaży towarów. Art. 46. 1. Administrator danych może, z zastrzeżeniem ust. 2, rozpocząć ich przetwarzanie w zbiorze danych po zgłoszeniu tego zbioru Generalnemu Inspektorowi, chyba że ustawa zwalnia go z tego obowiązku.
Jeżeli już działalność rozpoczęto, należy takiego zgłoszenia dokonać jak najszybciej.
Co podlega zgłoszeniu do GIODO?
Zgłaszając zbiór nie wysyła się żadnych danych osobowych klientów. Rejestracja w GIODO obejmuje jedynie konkretne zbiory ze wskazaniem na cel i zakres przetwarzania zawartych w nim danych osobowych.
Jak wygląda wniosek do GIODO?
Wniosek rejestracyjny do GIODO składa się z kilku części.
I CZĘŚĆ: określamy, czy jest to nowy wniosek, czy aktualizacja lub też wniosek dotyczący danych wrażliwych (ustawa definiuje cześć danych osobowych jako wrażliwe i ogranicza możliwości ich zbierania, ale nie dotyczy to zdecydowanej większości przypadków).
II CZĘŚĆ: określamy Administratora Danych (naszą firmę) i przesłankę, na podstawie której będziemy zbierać dane.
III CZĘŚĆ określamy:
cel przetwarzania danych (np. realizacja zamówień),
kategorie osób, których dane zamierzamy zbierać (np.: klienci i potencjalni klienci sklepu)
informację o tym, jakie dane zamierzamy gromadzić (lista przykładowa do zaznaczenia oraz miejsce do wpisania innych)
informacje o danych wrażliwych – ustawa o ochronie danych osobowych określa w ten sposób dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, stan zdrowia, kod genetyczny, informacje o nałogach, życiu seksualnym, dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
IV CZĘŚĆ: wskazujemy, w jaki sposób zbieramy dane, czyli czy bezpośrednio od danej osoby czy z innego źródła (np. kupionej legalnie bazy danych)
komu będziemy dane udostępniać ( w przypadku sklepu internetowego będzie to zwykle firma kurierska, biuro rachunkowe itp.) oraz czy będziemy je wysyłać za granicę i do państw trzecich.
V CZĘŚĆ: wskazujemy sposób przetwarzania danych (czy tylko na papierze czy tez elektronicznie; czy na komputerach połączonych z Internetem, czy centralnie czy w architekturze rozproszonej), a także opisu zabezpieczeń stosowanych w związku z przetwarzaniem danych – od czysto fizycznych (typu drzwi, zamki, szafy, sejfy) i sprzętowych (np. niszczarki), poprzez firewalle i uwierzytelnianie, po organizacyjne. Wskazujemy informację o powołaniu Administratora Bezpieczeństwa Informacji oraz o opracowaniu dokumentów z zakresu ochrony danych osobowych (Polityka Bezpieczeństwa Informacji oraz Instrukcja zarządzania systemem informatycznym) – dlatego tak ważne by dokumenty te przed dokonaniem rejestracji przygotować i wdrożyć.
Aby jednak zgłoszony zbiór mógł zostać zarejestrowany jego administrator musi spełnić wszystkie wymagania, jakie nakłada na niego wspomniana ustawa oraz rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Dlatego na koniec należy wskazać poziom stosowanych zabezpieczeń, który ma być adekwatny do sposobu przetwarzania danych.
Najczęściej będzie to poziom wysoki, który stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.
Podsumowanie
Podsumowując zaznaczyć należy, iż obowiązek zgłoszenia do GIODO zbioru danych osobowych nie oznacza przesyłania danych osobowych swoich klientów. We wniosku rejestracyjnym jak i aktualizacyjnym wskazuje się konkretne zbiory danych osobowych opisując kategorie przetwarzanych danych oraz cel i zakres ich przetwarzania.
W ramach mojej działalności prowadzę dwa sklepy i agencję marketingową. Czy do GIODO muszę zgłosić też agencję marketingową, czy wystarczą tylko sklepy?
Prowadząc własną działalność, należy dostosować ją do wymogów ustawy o ochronie danych osobowych.
Czy będąc właścicielem kilku firm, mogę zgłosić tylko te wybrane?
Jeżeli zarówno sklepy internetowe jak i agencja marketingowa są prowadzone w ramach jednej działalności gospodarczej, wówczas wystarczy stworzyć jeden komplet dokumentacji – jest jeden Administrator danych.
W sytuacji natomiast, jeżeli któraś działalność jest prowadzona np. w formie spółki z o.o., to spółka ta będzie już osobnym Administratorem danych i będzie wymagała przygotowania i wdrożenia osobnej dokumentacji. W ramach agencji marketingowej z pewnością również będą przetwarzane dane osobowe, dlatego tu również należałoby zidentyfikować zbiory danych osobowych i dokonać ich rejestracji.
Obowiązek rejestracji zbiorów danych osobowych w GIODO został wprost wpisany do art. 40 Ustawy o ochronie danych osobowych, w myśl którego administrator danych ma obowiązek zgłosić zbiór danych do rejestracji GIODO, chyba, że zachodzi jeden z wyjątków określonych w art. 43 ust. 1 UODO.
Dodatkowo należy wskazać, że agencja reklamowa i sklepy, będą mogły rozpocząć przetwarzanie danych osobowych zawartych w zbiorze danych dopiero po jego zgłoszeniu do GIODO. Jeśli zaś któraś z powyższych firm będzie planować przetwarzać tzw. dane wrażliwe (np. informacje o stanie zdrowia, przekonaniach religijnych) to, żeby w ogóle móc to robić w sposób legalny, będzie musiała zaczekać aż zbiór taki zostanie zarejestrowany.
Podsumowanie
Istotne z punktu widzenia prawa jest samo przetwarzanie danych osobowych, więc jeżeli przedsiębiorca w ramach prowadzonej działalności przetwarza dane osobowe, to jego działania podlegają reżimowi w.w. Ustawy. Prowadząc jedną działalność, a w ramach niej kilka różnych firm, pozostajemy Administratorem danych osobowych dla każdej z nich i tworzymy jeden komplet dokumentacji. Sytuacja komplikuje się, gdy jedna z prowadzonych przez nas firm ma formę np. spółki z o.o. – wówczas spółka jest odrębnym Administratorem danych, w związku z tym należy stworzyć dla niej nową dokumentację i dokonać kolejnego zgłoszenia do GIODO.
Prowadząc sklep lub serwis w oparciu o działalność wpisaną do CEIDG, do GIODO zgłasza się przedsiębiorcę prowadzącego sklep internetowy. Natomiast w treści wniosku rejestracyjnego wskazuje się już konkretnie sklep (serwis) i jego adres.
Jak prawidłowo należy zgłosić zbiór danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych?
Prawidłowe zgłoszenie polega przede wszystkim na właściwym wypełnieniu przez Administratora danych wniosku rejestracyjnego i przesłaniu go do Generalnego Inspektora Ochrony Danych Osobowych.
Zgodnie z regulacją art. 41 ust.1 ustawy o ochronie danych osobowych wniosek rejestracyjny powinien zawierać m.in.:
oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany wraz z podstawą prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania,
cel przetwarzania danych,
opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
sposób zbierania oraz udostępniania danych,
informacje o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39 ustawy,
informacje o sposobie wypełnienia warunków technicznych i organizacyjnych określonych w przepisach, o których mowa w art. 39a ustawy oochronie danych osobowych.
Jeden formularz zgłoszenia zbioru danych do rejestracji w GIODO odnosi się tylko do jednego zbioru danych osobowych.
Podsumowanie
Przedsiębiorca prowadzący sklep lub serwis internetowy ma obowiązek zarejestrowania wyłącznie zbiorów danych osobowych, dla których jest Administratorem danych osobowych.
W przypadku działalności gospodarczej – będzie nim przedsiębiorca, natomiast w przypadku spółki – sama spółka.
Z jakimi firmami muszę podpisać umowę powierzenia danych osobowych? Czy z księgową również?
Administrator danych osobowych decydując o celach i środkach przetwarzania danych osobowych, może wykonywać czynności na tych danych samodzielnie bądź zlecić je innemu podmiotowi.
Komu mogę powierzyć przetwarzane dane osobowe?
Bardzo częstą praktyką przedsiębiorców staje się powierzenie całości lub części czynności związanych z prowadzeniem m.in. polityki kadrowo-płacowej wyspecjalizowanym podmiotom zewnętrznym (outsourcing).
Działania tego rodzaju są jak najbardziej dopuszczalne prawnie i gwarantują profesjonalną obsługę, najczęściej jednak realizowane są w sposób naruszający obowiązki ustawowe.
Zgodnie z Ustawą o ochronie danych osobowych przedsiębiorca może powierzyć innemu podmiotowi przetwarzanie danych osobowych swoich pracowników, w celu wykonywania na jego rzecz lub w jego imieniu obowiązkowych czynności określonych w szeroko rozumianym prawie pracy. Zlecenie tego rodzaju usługi musi być wynikiem umowy zawartej na piśmie pomiędzy Administratorem danych osobowych a Usługobiorcą – Przetwarzającym dane osobowe (art. 31 ust. 1)
Jak powinna wyglądać umowa powierzenia danych osobowych?
Umowa powierzenia danych osobowych do przetwarzania, to szczególny rodzaj umowy o świadczeniu usług będących kombinacją czynności prawnych i faktycznych, dlatego też winna ona zawierać takie elementy jak:
strony umowy,
przedmiot umowy,
zabezpieczenia przedmiotu umowy,
podwykonawcy,
rozwiązanie umowy,
zasady odpowiedzialności stron umowy.
Umowa winna wskazywać podstawę prawną dopuszczającą powierzenie danych do przetwarzania – art. 31 ust. 1 ustawy o ochronie danych osobowych, Administratora danych osobowych w stosunku do informacji stanowiących przedmiot umowy, oświadczenie o posiadaniu przez przetwarzającego wszystkich niezbędnych uprawnień do wykonywania działalności objętej umową, np. związanych z prowadzeniem ksiąg rachunkowych.
Jak opisać przedmiot umowy?
Przedmiot umowy powinien zawierać przede wszystkim ustawowy wymóg określenia zakresu i celu powierzenia danych osobowych (art. 31 ust. 2 ), na który powinny się składać:
rodzaj powierzanych danych osobowych;
cel przetwarzania danych osobowych;
zakres dopuszczalnego przetwarzania danych osobowych;
forma przetwarzania danych osobowych;
czas trwania umowy.
W przypadku powierzenia danych osobowych w celu realizacji obowiązków kadrowo-płacowych ciążących na
przedsiębiorcy, nie jest konieczne wymienianie wszystkich danych oraz zakresu dopuszczalnych czynności, gdyż zarówno zawartość tego zbioru, jak również procesy kadrowe są jednoznacznie określone przez prawo powszechnie obowiązujące.
W umowie powierzenia przetwarzania danych osobowych należy zawrzeć zasady, jakie powinien wdrożyć przedsiębiorca w celu właściwego zabezpieczenia powierzonych danych osobowych zanim podejmie się wykonywania zlecenia. (art. 31 ust. 3).
Chodzi o zasady udzielania upoważnień do przetwarzania danych osobowych dla poszczególnych pracowników Przetwarzającego, którzy będą mieć dostęp do powierzonych danych osobowych np.
„Upoważnienia dla pracowników przetwarzającego są wydawane osobiście przez ADO”
„Upoważnienia dla pracowników wydaje sam przetwarzający, na podstawie właściwego pełnomocnictwa uzyskanego od ADO”
Następnie Administrator danych osobowych winien upewnić się czy przetwarzający wdrożył niezbędne zabezpieczenia organizacyjno-techniczne oraz obowiązkową dokumentację bezpieczeństwa. Wiedzę w tym zakresie powinien posiąść jeszcze przed przekazaniem danych osobowych doprzetwarzania. Decydując się na powierzenie danych osobowych do przetwarzania należy określić również kwestie związane z działaniami mającymi nastąpić w chwili rozwiązania umowy, tj.: zwrot, usunięcie, anonimizacja danych osobowych.
Co ważne, przedsiębiorca podejmując decyzję o powierzeniu przetwarzania danych osobowych swoich pracowników innemu podmiotowi w celu realizacji swoich zadań kadrowo-płacowych, nie musi uzyskiwać jakiejkolwiek ich zgody ani informować ich o tym fakcie.
Podsumowanie
Do powierzenia danych dochodzi gdy przedsiębiorca zleca usługę na zewnątrz i jednocześnie przekazuje dane komuś innemu, kto używa ich w jego imieniu i na jego rzecz. Umowa powierzenia danych osobowych to nieodłączny element prawidłowego wdrożenia dokumentacji ochrony danych osobowych w firmie. Zlecanie czynności związanych z prowadzeniem księgowości, wsparcia IT itp. firmie zewnętrznej jest bardzo często stosowaną przez przedsiębiorców, legalną praktyką.
Należy jedynie pamiętać by zawrzeć z podmiotem zewnętrznym umowę pisemną, uwzględniając wyżej opisane elementy, a zwłaszcza cel i zakres przetwarzania danych osobowych.
