Obowiązek podpisania umowy powierzenia zależy od rodzaju licencji. Jeśli licencja na oprogramowanie jest pudełkowa, nie ma potrzeby zawierania umowy o powierzenie przetwarzania danych osobowych. Jeżeli jest to licencja chmurowa, to wówczas dane klienta są umieszczane na serwerze dostawcy oprogramowania. Jeśli dostawca ma dostęp do danych osobowych zgromadzonych przez administratora danych, zachodzi konieczność zawarcia umowy powierzenia przetwarzania danych.
Uznani producenci zintegrowanych systemów informatycznych zarządzania firmą (systemy ERP) z pewnością zapewniają ich zgodność z wymogami obecnie obowiązującej ustawy o ochronie danych osobowych (uodo). Uzyskanie przez użytkownika dostępu do danych osobowych zgromadzonych w systemie ERP wymaga wcześniejszej autoryzacji i może być uzależnione np. od roli i stanowiska takiej osoby w danym przedsiębiorstwie. Nie jest zatem tak, że każdy z użytkowników systemu ma dostęp do wszystkich danych osobowych w nim zgromadzonych. Zakres obszarów w systemie, do których dany użytkownik ma dostęp, może być uzależniony od różnych czynników i może być modyfikowany zgodnie ze zmieniającymi się okolicznościami i potrzebami przedsiębiorcy.
Jeśli licencja na oprogramowanie ERP jest pudełkowa, to klient dostaje kody binarne programu, instaluje program na własnym serwerze i (zazwyczaj) dane nie wychodzą poza jego infrastrukturę sieciową – nie ma wówczas potrzeby zawierania umowy o powierzenie przetwarzania danych osobowych. Jeżeli jest to licencja chmurowa, to wówczas dane klienta są umieszczane na serwerze dostawcy oprogramowania. Jeśli dostawca ma dostęp do danych osobowych zgromadzonych przez administratora danych (czy to przez własne serwery, czy przez oddelegowanie własnych pracowników do wprowadzania danych administratora do systemu), zachodzi konieczność zawarcia umowy powierzenia przetwarzania danych. Rolą administratora bezpieczeństwa informacji jest zadbanie o to, aby taka umowa została zawarta i by spełniała ona wszystkie ustawowe wymogi.
W ramach systemu informatycznego zarządzania firmą może istnieć jeden zbiór danych osobowych, może też być ich kilka – zależy to od sposobu skonstruowania systemu. Dane przetwarzane w systemie powinny być chronione za pomocą środków adekwatnych do zagrożeń i kategorii przetwarzanych danych. Administrator danych powinien zatem zastosować środki techniczne i organizacyjne w celu zabezpieczenia danych zgodnie z przyjętą polityką bezpieczeństwa, instrukcją zarządzania systemem informatycznym i innymi wewnętrznymi aktami.
Należy mieć na uwadze, że administrator danych musi działać na podstawie jednej z przesłanek dopuszczalności przetwarzania danych osobowych, pozyskując dane. Administrator danych musi zatem przeanalizować, czy konieczność pozyskania dodatkowych danych klienta jest konieczna do realizacji umowy, gdy klient, którego dane dotyczą, jest jej stroną czy też chodzi o inne cele np. marketing. W zależności od sytuacji w grę może wówczas wchodzić albo aneks do umowy, albo osobna zgoda na przetwarzanie danych osobowych.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
