Awaria systemu w urzędzie i ochrona danych osobowych. Jak dać dostawcy wsparcia dostęp do bazy? Opinia prawnika

02-11-2015, 12:01

System w urzędzie ma awarię i zachodzi potrzeba zgrania bazy danych przez firmę, która świadczy usługę wsparcia technicznego. Jak to zrobić, by nie naruszyć przepisów o ochronie danych? Odpowiada prawnik Bartosz Pudo.

Czytelnik zwrócił się do naszej redakcji z następującym pytaniem. 

Jest sobie jakiś urząd publiczny (np. Urząd Miasta), który ma wdrożony system Elektronicznego Obiegu Dokumentów. W swojej bazie ma już mnóstwo interesantów i danych na ich temat i nagle system, na którym pracuje ma jakiś błąd. Żeby go zdiagnozować/naprawić firma supportująca musi zgrać do siebie bazę danych Urzędu.

Pytanie: Czy Urząd może udostępnić swoją bazę firmie trzeciej (teoretycznie w celu naprawy błędu) bez żadnych zabezpieczeń w postaci, np. anonimizacji danych - tak, że pracownicy firmy trzeciej mają pełny wgląd w moje dane osobowe a także moje sprawy prowadzone w Urzędzie ? A jeśli ustawa o ochronie danych osobowych nakłada obowiązek dodatkowych środków zabezpieczających przed przekazaniem takiej bazy to na kogo nakłada ten obowiązek ? Na Urząd czy firmę supportującą ?

Dziennik Internautów poruszał w przeszłości temat awarii komputera z danymi osobowymi. Tutaj jednak sytuacja jest inna, bo chodzi o błąd w systemie. Postanowiliśmy spytać o opinię specjalistę od ochrony danych.

Odpowiedzi na powyższe pytanie udzielił Bartosz Pudo, prawnik związany z Kancelarią Adwokatów i Radców Prawnych Ślązak, Zapiór i Wspólnicy, autor bloga Personalia.com.pl. Poniżej jego odpowiedź.


Udzielenie zewnętrznym informatykom dostępu do danych osobowych przetwarzanych przez gminę, w celu dokonania konserwacji lub naprawy systemu informatycznego, jest klasycznym przykładem powierzenia przetwarzania danych. Kwestia ta jest natomiast wyraźnie regulowana przepisami art. 31 ust. 1-5 ustawy o ochronie danych osobowych.

I tak, chcąc zlecić podmiotowi trzeciemu naprawienie usterek systemu, z czym wiązać się będzie uzyskanie dostępu do danych przez ten podmiot, gmina musi zawrzeć z firmą informatyczną pisemną umowę powierzenia przetwarzania danych osobowych. Przez umowę powierzenia rozumieć przy tym będziemy bądź to odrębny dokument regulujący całościowo kwestie związane z ochroną danych i ich powierzeniem, bądź też odpowiednie postanowienia umowy zlecenia wykonania określonych usług przez informatyków. Umowa taka określać musi przy tym zakres i cel przetwarzania danych, w tym przypadku więc wskazywać powinna, że dane zostaną np. odczytane oraz skopiowane i odbędzie się to w celu usunięcia usterki systemu.

Jeśli chodzi o obowiązek zabezpieczenia danych osobowych, w dalszym ciągu spoczywa on w pierwszej kolejności na gminie, jako administratorze danych osobowych, ale pamiętać trzeba, że z chwilą powierzenia danych obowiązek ten obejmuje także firmę informatyczną, przetwarzającej dane na zlecenie.

Przepisy nie wymagają od administratora, by w sposób szczególny zabezpieczał dane powierzone do przetwarzania. W tym zakresie, dodatkową formą zabezpieczenia mogą być jednak odpowiednie klauzule umowne zawarte w umowie z firmą informatyczną oraz ewentualne techniczne zabezpieczenia w rodzaju szyfrowania danych (choć trzeba zauważyć, że skoro gmina zleca dokonanie przeglądu systemu informatycznego podmiotowi zewnętrznemu, przypuszczalnie również operacje szyfrowania musiałaby zlecić na zewnątrz).

Należy jednak pamiętać, że za zabezpieczenie danych odpowiada również przetwarzający na zlecenie, czyli w tym przypadku zewnętrzna firma informatyczna. To właśnie ten podmiot powinien zadbać, by do przetwarzania powierzonych danych dopuszczone zostały osoby, które uzyskały odpowiednie upoważnienie do przetwarzania danych i zobligowane są do zachowania danych w poufności. Na przetwarzającym na zlecenie spoczywa również obowiązek technicznego zabezpieczenia danych, jeżeli operacje na danych wykonywane są np. na urządzeniach należących do przetwarzającego na zlecenie, a nie na urządzeniach administratora danych.

Bartosz Pudo

Bartosz PudoPrawnik związany z Kancelarią Adwokatów i Radców Prawnych Ślązak, Zapiór i Wspólnicy. Koordynuje wszystkie procesy wdrażania oraz dostosowywania do obowiązujących przepisów procedur z zakresu ochrony danych osobowych u klientów. Doradza także w procesie wdrażania systemów informatycznych oraz aplikacji mobilnych, m.in. serwisu i aplikacji, za pomocą których będą prowadzone rekrutacje do wszystkich spółek w Europie Środkowo-Wschodniej należących do jednej z międzynarodowych grup kapitałowych. Analizował aspekty prawne procesu tworzenia i wprowadzenia na rynek europejski urządzeń elektronicznych produkowanych w Azji. W zakres jego specjalizacji wchodzą również sprawy z zakresu prawa własności intelektualnej oraz prawa konkurencji. Opiniuje umowy oraz doradza w sporach dotyczących praw autorskich, zwłaszcza w przemysłach kreatywnych i branży IT.

Autor bloga personalia.com.pl poświęconego tematyce ochrony danych osobowych.


  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy