Jak powierzyć przetwarzanie danych osobowych

Warto podkreślić, że administrator danych, który je przekazał, nie zwalnia się tym samym z odpowiedzialności za dalsze prawidłowe postępowanie z  chronionymi informacjami. Cały proces ich dalszego przetwarzania musi być zgodny z przepisami ustawy.

Stanowi o tym art. 31 w ust. 4, zgodnie z którym odpowiedzialność za przestrzeganie ustawy spoczywa na administratorze danych, co jednak nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową. Dlatego tak ważne jest wybranie odpowiedzialnego podmiotu, który będzie przestrzegał wszystkich niezbędnych procedur.

Z kolei podmiot, który w drodze takiej umowy przejmie dane, jest obowiązany przed rozpoczęciem ich przetwarzania podjąć środki zabezpieczające zbiór. Chodzi o zastosowanie środków, o których bezpośrednio mowa w art. 36 – 39 oraz do których odsyła art. 39a. Mowa w nich o zastosowaniu odpowiednich środków technicznych i organizacyjnych, które będą zapewniały taką ochronę stosownie do zagrożeń oraz kategorii danych objętych ochroną.

W szczególności nie mogą mieć do nich dostępu osoby nieuprawnione. Zastosowane środki powinny uniemożliwić ich zabranie, zmianę treści, utratę, przypadkowe uszkodzenie lub zniszczenie. Podobnie, jak główny administrator, tak i podmiot, który uzyskał do nich dostęp w drodze umowy, musi zapewniać kontrolę nad tym, jakie dane, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Powinien także prowadzić ewidencję osób upoważnionych do przetwarzania danych.

Z kolei wymieniony art. 39a odsyła do rozporządzenia ministra spraw wewnętrznych i administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU z 2004 r. nr 100, poz. 1024).

Reasumując, powierzenie przetwarzania danych jest możliwe. Musi nastąpić w drodze pisemnej umowy. A ta powinna szczegółowo określać obowiązki administratora danych oraz podmiotu, któremu powierzono ten proces, a także zakres przekazywanych informacji.