Czy z dostawcą zintegrowanego systemu zarządzania firmą trzeba podpisać umowę powierzenia

Uznani producenci zintegrowanych systemów informatycznych zarządzania firmą (systemy ERP) z pewnością zapewniają ich zgodność z wymogami obecnie obowiązującej ustawy o ochronie danych osobowych (uodo). Uzyskanie przez użytkownika dostępu do danych osobowych zgromadzonych w systemie ERP wymaga wcześniejszej autoryzacji i może być uzależnione np. od roli i stanowiska takiej osoby w danym przedsiębiorstwie. Nie jest zatem tak, że każdy z użytkowników systemu ma dostęp do wszystkich danych osobowych w nim zgromadzonych. Zakres obszarów w systemie, do których dany użytkownik ma dostęp, może być uzależniony od różnych czynników i może być modyfikowany zgodnie ze zmieniającymi się okolicznościami i potrzebami przedsiębiorcy.

Jeśli licencja na oprogramowanie ERP jest pudełkowa, to klient dostaje kody binarne programu, instaluje program na własnym serwerze i (zazwyczaj) dane nie wychodzą poza jego infrastrukturę sieciową – nie ma wówczas potrzeby zawierania umowy o powierzenie przetwarzania danych osobowych. Jeżeli jest to licencja chmurowa, to wówczas dane klienta są umieszczane na serwerze dostawcy oprogramowania. Jeśli dostawca ma dostęp do danych osobowych zgromadzonych przez administratora danych (czy to przez własne serwery, czy przez oddelegowanie własnych pracowników do wprowadzania danych administratora do systemu), zachodzi konieczność zawarcia umowy powierzenia przetwarzania danych. Rolą administratora bezpieczeństwa informacji jest zadbanie o to, aby taka umowa została zawarta i by spełniała ona wszystkie ustawowe wymogi.

W ramach systemu informatycznego zarządzania firmą może istnieć jeden zbiór danych osobowych, może też być ich kilka – zależy to od sposobu skonstruowania systemu. Dane przetwarzane w systemie powinny być chronione za pomocą środków adekwatnych do zagrożeń i kategorii przetwarzanych danych. Administrator danych powinien zatem zastosować środki techniczne i organizacyjne w celu zabezpieczenia danych zgodnie z przyjętą polityką bezpieczeństwa, instrukcją zarządzania systemem informatycznym i innymi wewnętrznymi aktami.

Należy mieć na uwadze, że administrator danych musi działać na podstawie jednej z przesłanek dopuszczalności przetwarzania danych osobowych, pozyskując dane. Administrator danych musi zatem przeanalizować, czy konieczność pozyskania dodatkowych danych klienta jest  konieczna do realizacji umowy, gdy klient, którego dane dotyczą, jest jej stroną czy też chodzi o inne cele np. marketing. W zależności od sytuacji w grę może wówczas wchodzić albo aneks do umowy, albo osobna zgoda na przetwarzanie danych osobowych.