Kurier też musi chronić dane

opublikowano: 05-03-2012, 00:00

Przedsiębiorca może powierzyć kurierowi dokumenty, które zawierają dane osobowe adresata, ale musi zadbać o ich ochronę.

Powierzenie danych innej firmie

Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Dane mogą być przetwarzane wyłącznie w zakresie i celu przewidzianym w takiej umowie.

Firma, której zostaną dane powierzone, musi wcześniej stworzyć warunki ich właściwej ochrony, czyli podjąć środki zabezpieczające zbiór danych. W zakresie przestrzegania tych przepisów podmiot ten ponosi odpowiedzialność jak administrator danych (art. 31 ustawy o ochronie danych osobowych).

Przesyłanie ważnych dokumentów przez firmy kurierskie jest dziś chlebem powszednim. Do takich należą np. umowy przedsiębiorców z klientami. Ta praktyka nie jest przez prawo zakazana, o ile spełnione są wymagania dotyczące ochrony danych, które firma powierza na czas dostawy kurierowi.

Generalny Inspektor Ochrony Danych Osobowych (GIODO) przypomniał o tym po rozpatrzeniu skargi jednego z abonentów na przetwarzanie jego danych przez spółkę telekomunikacyjną. GIODO uznał, że operator dochował niezbędnych warunków.

Generalny inspektor stwierdził, że operator miał prawo powierzenia danych klienta do przetwarzania firmie kurierskiej w celu wykonywania usług miejskich i krajowych w zakresie przewożenia przesyłek. Taką możliwość daje art. 31 ustawy o ochronie danych osobowych. W tym celu trzeba jednak zawrzeć umowę zobowiązującą także do ochrony powierzonych dokumentów.

Tak właśnie było w rozpatrywanej sprawie. Umowa z firmą doręczycielską nakładała na nią obowiązek zachowania należytej staranności przy przetwarzaniu danych osobowych abonentów spółki i stosowania przepisów ustawy dotyczących odpowiedniego zabezpieczenia przetwarzanych danych. Ponadto GIODO ustalił, że spółka stworzyła szereg procedur wewnętrznych i zabezpieczeńtechnicznych oraz informatycznych mających na celu ochronę danych osobowych wszystkich swoich klientów, w tym również dane skarżącego. Wdrożono m.in. środki zabezpieczające dane, wskazane w art. 36-39 ustawy o ochronie danych osobowych oraz w rozporządzeniu ministra spraw wewnętrznych i administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Ponadto dostęp do danych klientów (a więc także abonenta skarżącego) mają wyłącznie te osoby, które posiadają upoważnienie do ich przetwarzania.

Obowiązki administratora danych

zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz środki ich zabezpieczeń wyznaczenie administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, chyba że administrator danych sam wykonuje te czynności kontrola nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane prowadzenie ewidencji osób upoważnionych (na piśmie) do przetwarzania danych, która powinna zawierać ich imiona i nazwiska, datę nadania i ustania oraz zakres upoważnienia, identyfikator, jeżeli dane są przetwarzane w systemie informatycznym — osoby upoważnione są obowiązane zachować w tajemnicy dane osobowe oraz sposoby ich zabezpieczenia. (Art. 36-39 ustawy o ochronie danych osobowych)

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Polecane