Mój żłobek, moje przedszkole (08) 3/2016

PRAWO I PRZEPISY Zarządzanie
Na mocy obowiązującej ustawy o ochronie danych
osobowych, każdy administrator danych zobowiązany
jest do wdrożenia określonych w ustawie procedur
– w celu zapobiegania ewentualnym naruszeniom zasad
w niej określonych, w szczególności przez pracowników,
współpracowników lub podmioty, którym administrator
powierzył przetwarzanie danych.
fot. Fotolia.com
Administrator danych osobowych,
którym może być np.
właściciel przedszkola (osoba
fizyczna prowadząca jednoosobową
działalność gospodarczą), spółka, przetwarzając
dane osobowe w określonych
celach (najczęściej tymi celami w przypadku
przedszkola będzie prowadzenie
działalności wychowawczej i opiekuńczej),
niejednokrotnie powierza przetwarzanie
danych innym podmiotom.
KIM JEST PODMIOT
PRZETWARZAJĄCY?
Przepisy dotyczące ochrony danych osobowych
dopuszczają możliwość powierzenia
przetwarzania danych innemu podmiotowi
(zwanemu również procesorem). Nie
będzie to oznaczało, że dotychczasowy
administrator danych utraci swoją pozycję.
Pozostanie on nadal podmiotem decydującym
o celach i środkach przetwarzania
danych osobowych (administratorem danych),
zaś określoną część zadań, będzie
mógł przekazać innemu zewnętrznemu
podmiotowi. Przykładowo spółka kapitałowa
zarządzająca przedszkolem zleca
zewnętrznej firmie świadczenie usług
kadrowych, archiwizacji, usług marketingowych,
księgowych lub usługi hostingu
strony internetowej.
OBLIGATORYJNE ELEMENTY
UMOWY Z PROCESOREM
Istotnym elementem każdej umowy powierzenia
danych osobowych powinno być
dokładne określenie stron umowy poprzez
wskazanie administratora danych oraz
osoby (podmiotu), któremu powierza się
przetwarzanie danych. Kolejnym, obligatoryjnym
elementem umowy jest informacja
o zakresie przetwarzania danych oraz
wskazanie, w jakim celu dane osobowe
powierza się konkretnemu podmiotowi.
Co do zakresu, należy wymienić wszystkie
dane osobowe, które podmiot będzie
przetwarzał, jak np. imię, nazwisko, numer
PESEL, adres email. Jeśli chodzi o cel powierzenia
do przetwarzania danych, to należałoby
te cele (cel) uszczegółowić, zgodnie
z zawarta umową główną dotyczącą
świadczenia określonych usług (np. w celu
realizacji usług kadrowych lub zniszczenia
nośników informacji).
PROCESOR TO NIE
ADMINISTRATOR DANYCH
Dodatkowo, w umowie powinna być opisana
kwestia odpowiedzialności procesora.
Co do zasady odpowiedzialność za
przestrzeganie przepisów Ustawy ponosi
administrator. Niemniej jednak w umowie
z procesorem powinno być sprecyzowane,
jakie są obowiązki i procedury obowiązujące
procesora oraz skutki ich nieprzestrzegania.
Powierzenie przetwarzania danych
osobowych innemu podmiotowi (innej
osobie) w żadnym wypadku nie zwalnia
administratora z odpowiedzialności za
prawidłowe zabezpieczenie danych osobowych.
Również z punktu widzenia bezpieczeństwa,
w umowie powinno się określić,
ewentualne dalsze przetwarzanie danych
przez podmiot przetwarzający oraz zasady
ewentualnej kontroli procesora w miejscu
przetwarzania przez niego powierzonych
danych.
CZY WYMAGANA JEST FORMA
PISEMNA UMOWY?
Z punktu widzenia obowiązku zawartego
w Ustawie, administrator danych powinien
powierzyć przetwarzanie danych
osobowych w formie umowy zawartej na
piśmie. Powierzenie danych, może być
również częścią umowy podstawowej,
dotyczącej świadczenia usług na rzecz administratora
i przez niego powierzonych.
Forma pisemna Umowy określi również
precyzyjnie wzajemne prawa i obowiązki
stron umowy. Dodatkowo, administrator
danych powinien prowadzić rejestr umów,
na podstawie których powierzył przetwarzanie
danych osobowych.
17