Powierzenie przetwarzania danych innemu podmiotowi jest uregulowane w art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.2015.2135 z późn. zm.) – dalej „u.o.d.o.”
Zgodnie z art. 31. u.o.d.o.
1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.
2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
2a. Nie wymaga zawarcia umowy między administratorem a podmiotem, o którym mowa w ust. 1, powierzenie przetwarzania danych, w tym przekazywanie danych, jeżeli ma miejsce między podmiotami, o których mowa w art. 3 ust. 1. (czyli dot. to organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych).
3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.
W pierwszej kolejności należy pamiętać o obowiązku zabezpieczenia danych osobowych, do których otrzymujemy dostęp.
Jako podmiot otrzymujący dostęp do danych osobowych na zasadzie powierzenia (na podstawie umowy) jesteśmy obowiązani zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Ponadto musimy prowadzi dokumentację opisującą sposób przetwarzania danych oraz stosowane środki. Przyjmuje się że są to dwa dokumenty razem z załącznikami czyli Polityka ODO oraz Instrukcja Zarządzania ODO
Administrator który otrzymuje dostęp do danych musi zapewnić przestrzeganie przepisów o ochronie danych osobowych, w szczególności przez:
- sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
- nadzorowanie i przestrzegania zasad określonych w Polityce ODO i Instrukcji Zarządzania ODO;
- zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
- prowadzenie rejestru zbiorów danych przetwarzanych;
- kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane;
- prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych.
Należy pamiętać, że do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
Przetwarzając dane osobowe na zasadzie powierzenia nie musimy bazy danych zgłaszać do GIODO, taki obowiązek może spoczywać natomiast na administratorze który powierza nam przetwarzanie danych osobowych.
Podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, uwzględniając zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną, a także wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzanych danych zostały określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U.2004.100.1024).
Warunki o których mowa powyżej powinny być opisane w Polityce ODO oraz Instrukcji Zarządzania ODO.
Polityka ODO powinna zawierać w szczególności:
- wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
- wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
- sposób przepływu danych pomiędzy poszczególnymi systemami;
- określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Instrukcja ODO powinna zawierać w szczególności:
- procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
- stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
- procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
- procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
- sposób, miejsce i okres przechowywania:
- elektronicznych nośników informacji zawierających dane osobowe,
- kopii zapasowych, o których mowa w pkt 4 powyżej,
- sposób zabezpieczenia systemu informatycznego,
- procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
Jeżeli potrzebujecie Państwo pomocy w opracowaniu powyższych dokumentów zapraszam do kontaktu.