Biuro zajmuje się obsługą kadrową firm, na ich zlecenie. Czy do umów z klientami należy wprowadzić postanowienia dotyczące przekazywanych nam danych osobowych pracowników tych firm i ich klientów?
TAK. Mamy tu do czynienia z powierzeniem przez klientów firmie Czytelnika przetwarzania danych osobowych.
Administrator danych może powierzyć innemu podmiotowi przetwarzanie danych, w drodze umowy zawartej na piśmie - pozwala na to art. 31 ustawy o ochronie danych osobowych (Dz. U. z 2002 r. nr 101, poz. 926 ze zm.). Konieczne jest zatem zawarcie umowy o powierzenie przetwarzania danych osobowych - może to być odrębny dokument lub dodatkowe postanowienia do umowy zawieranej z klientami, np. o świadczenie usług. Należy w niej wskazać zakres danych (ich rodzaj) i cel przetwarzania danych (do czego są przeznaczone). Podmiot, któremu powierzono przetwarzanie danych, może je wykorzystywać tylko i wyłącznie w zakresie i celu wskazanym w umowie.
Podmiot, któremu w tym trybie przekazano dane osobowe do przetwarzania (np. przygotowywania list płac) ma szereg obowiązków, mimo że nie jest on administratorem tych danych. Musi on przetwarzać dane zgodnie z umową powierzenia. Ma obowiązki związane z zabezpieczeniem danych i prowadzeniem dokumentacji. Przed rozpoczęciem przetwarzania danych musi zastosować środki zabezpieczające zbiór danych, o których mowa w art. 36-39 ustawy o ochronie danych osobowych. W szczególności zobowiązany jest do wprowadzenia dokumentacji (polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych), wyznaczenia administratora bezpieczeństwa informacji, dopuszczenia do przetwarzania danych wyłącznie osób posiadających upoważnienie nadane przez administratora danych, prowadzenia ewidencji osób upoważnionych do przetwarzania danych.
|