Pytanie:  Czy należy podpisać umowę powierzenia przetwarzania danych osobowych z biegłym rewidentem, który bada sprawozdanie finansowe firmy? Spotkałem się ze stanowiskiem, że takiej umowy nie trzeba zawierać, gdyż obowiązek badania ksiąg rachunkowych wynika bezpośrednio z ustawy o rachunkowości. Artykuł 67 ust. 1 tej ustawy zobowiązuje kierownika jednostki do udostępnienia biegłemu przeprowadzającemu badanie sprawozdania nie tylko ksiąg rachunkowych, ale i wszelkich dokumentów stanowiących podstawę zapisów księgowych, które często zawierają dane osobowe.

Pytanie:  Czy biuro rachunkowe, które wykorzystuje tylko dane osobowe powierzone mu przez admnistratorów danych do przetwarzania, powinno opracować i wdrożyć politykę bezpieczeństwa danych i zastosować środki zabezpieczające te dane? Czy obowiązki te są jedynie po stronie administratora danych?

Pytanie:  Jesteśmy firmą, która zajmuje się programowaniem, tworzeniem stron internetowych i portali. Mamy podpisane umowy powierzenia przetwarzania danych z podmiotami, które zlecają nam przygotowanie stron. Serwery, na których działają te strony, wynajmujemy od zewnętrznej firmy, która zajmuje się także ich obsługą. Chcemy podpisać z nią umowę powierzenia. Jaki będziemy mieć w niej status? Będziemy administratorem danych czy nadal procesorem? Jaki status będzie miała więc firma hostingowa?

Pytanie:  W naszym firmowym archiwum firmowym zaczyna brakować miejsca i przechowywanie dużej liczby dokumentów staje się dla nas uciążliwe. W związku z tym podjęliśmy decyzję, że skorzystamy w usług zewnętrznej firmy oferującej usługi archiwizacji dokumentacji. Czy w takiej sytuacji powinniśmy z tym podmiotem podpisać umowę powierzenia przetwarzania danych osobowych?

Pytanie:  Zamierzamy podpisać umowę powierzenia przetwarzania danych osobowych z obsługującym naszą firmę podmiotem zewnętrznym. Na jej mocy zyska on dostęp także do danych osobowych wrażliwych. Czy w takiej sytuacji możemy podpisać umowę powierzenia? Czy ustawa o ochronie danych osobowych zakazuje powierzenia danych wrażliwych?

Jeżeli przetwarzanie danych osobowych ma się odbywać w imieniu administratora, to zgodnie z ogólnym rozporządzeniem o ochronie danych powinien on korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rodo i chroniło prawa osób, których dane dotyczą.

Wrażliwe dane osobowe podlegają szczególnej ochronie prawnej. Operacje na tego rodzaju danych objęte są ograniczeniami wynikającym z art. 27 ustawy o ochronie danych osobowych (uodo). Zasadniczo przetwarzanie danych wrażliwych jest zakazane. Przepisy uodo określają jednak kilka przypadków, w których można je przetwarzać.

Pytanie:  Korzystamy z usług firm kurierskich. Chcieliśmy zawrzeć z nimi umowy powierzenia przetwarzania danych osobowych, ale twierdzą one, że w związku z tym, iż są wpisane na listę operatorów pocztowych i działają na podstawie prawa pocztowego, takich umów nie muszą podpisywać. Czy rzeczywiście firma kurierska jest zwolniona z tego obowiązku?

Pytanie:  Czy w sytuacji, gdy dane osobowe np. pracowników są przekazywane z oddziału firmy do jej centrali, należy podpisać umowę powierzenia przetwarzania danych osobowych? Centrala i oddział firmy mieszczą się w tym samym kraju, dane osobowe nie są więc przekazywane za granicę, do państwa trzeciego.

Pytanie:  W urzędzie pracuje radca prawny zatrudniony na podstawie umowy zlecenia. W ramach swoich obowiązków ma dostęp do danych osobowych. Czy z tak zatrudnionym radcą prawnym należy podpisać umowę powierzenia przetwarzania danych osobowych? Czy w takiej sytuacji należy wydać mu upoważnienie do przetwarzania danych osobowych?