- Czy nasze przedsiębiorstwo może przekazać zewnętrznej firmie, która specjalizuje się w niszczeniu dokumentów, informacje zawierające dane osobowe? –
pyta czytelnik.
Takie rozwiązanie jest możliwe. Przekazanie danych jest oczywiście jednym z przykładów przetwarzania danych, tak samo jak ich zbieranie, gromadzenie czy aktualizowanie. Jednak istnieje podstawa prawna, aby móc to legalnie uczynić.
Ustawa o ochronie danych osobowych, która reguluje kwestię powierzania przetwarzania informacji o osobach (DzU z 2002 r. nr 101, poz. 926 ze zm.), zawiera art. 31, zgodnie z którym administrator danych może powierzyć innemu podmiotowi w drodze umowy zawartej na piśmie przetwarzanie danych. Przepis ten wyraźnie wskazuje na obowiązek zawarcia takiej umowy w formie pisemnej.
Firma, której powierzono takie zadanie, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w takim kontrakcie. Umowa nie może być więc sformułowana w sposób ogólny, lecz musi precyzować zakres przekazywanych danych (czyli informować o tym, co to są za dane) i jaki jest cel umowy.
Warto podkreślić, że administrator danych, który je przekazał, nie zwalnia się tym samym z odpowiedzialności za dalsze prawidłowe postępowanie z chronionymi informacjami. Cały proces ich dalszego przetwarzania musi być zgodny z przepisami ustawy.
Stanowi o tym art. 31 w ust. 4, zgodnie z którym odpowiedzialność za przestrzeganie ustawy spoczywa na administratorze danych, co jednak nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową. Dlatego tak ważne jest wybranie odpowiedzialnego podmiotu, który będzie przestrzegał wszystkich niezbędnych procedur.
Z kolei podmiot, który w drodze takiej umowy przejmie dane, jest obowiązany przed rozpoczęciem ich przetwarzania podjąć środki zabezpieczające zbiór. Chodzi o zastosowanie środków, o których bezpośrednio mowa w art. 36 – 39 oraz do których odsyła art. 39a. Mowa w nich o zastosowaniu odpowiednich środków technicznych i organizacyjnych, które będą zapewniały taką ochronę stosownie do zagrożeń oraz kategorii danych objętych ochroną.
W szczególności nie mogą mieć do nich dostępu osoby nieuprawnione. Zastosowane środki powinny uniemożliwić ich zabranie, zmianę treści, utratę, przypadkowe uszkodzenie lub zniszczenie. Podobnie, jak główny administrator, tak i podmiot, który uzyskał do nich dostęp w drodze umowy, musi zapewniać kontrolę nad tym, jakie dane, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Powinien także prowadzić ewidencję osób upoważnionych do przetwarzania danych.
Z kolei wymieniony art. 39a odsyła do rozporządzenia ministra spraw wewnętrznych i administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU z 2004 r. nr 100, poz. 1024).
Reasumując, powierzenie przetwarzania danych jest możliwe. Musi nastąpić w drodze pisemnej umowy. A ta powinna szczegółowo określać obowiązki administratora danych oraz podmiotu, któremu powierzono ten proces, a także zakres przekazywanych informacji.
