Jeżeli w przechowywanej do firmy zewnętrznej dokumentacji znajdują się dane osobowe, należy podpisać z nią umowę powierzenia przetwarzania danych.
Przed podjęciem decyzji o skorzystaniu z usług zewnętrznego podmiotu archiwizacyjnego, należy rozważyć wady i zalety takiego rozwiązania. Outsourcing archiwizacji niesie bowiem za sobą ryzyko. Podmiot, któremu zlecana zostaje archiwizacja, to zewnętrzna firma, która ma dostęp do dokumentów, w tym zawartych w nich danych osobowych, jednocześnie nad działaniami której zlecający nie ma pełnej kontroli.
Zanim administrator danych podejmie decyzję o skorzystaniu z usług zewnętrznego podmiotu w zakresie archiwizacji, warto by przeprowadził analizę ryzyka i ocenił, jakie ryzyko niesie powierzenie do archiwizacji dokumentów zawierających określone kategorie danych. W wyniku przeprowadzonej analizy może się okazać, że powierzenie archiwizacji dokumentów zawierających dane osobowe wrażliwe (np. dane o stanie zdrowia) czy inne dane szczególnie istotne dla firmy, może nieść ze sobą niewspółmiernie duże ryzyko naruszenia ochrony tych danych w porównaniu do korzyści, jakie zapewnia outsourcing archiwizacji.
Decydując się na outsourcing archiwizacji, należy korzystać ze sprawdzonych podmiotów, zapewniających profesjonalne przechowywanie i bezpieczeństwo danych. Dobrą praktyką jest wymaganie referencji, informacji dotyczących bezpieczeństwa danych osobowych i zabezpieczeń stosowanych przez firmę archiwizującą, a nawet przeprowadzenie wstępnego audytu ochrony danych osobowych u przyszłego kontrahenta.
Administrator danych musi pamiętać, że nawet jeśli wybierze renomowaną firmę zajmującą się archiwizacją dokumentów, nie zwalnia go to od odpowiedzialności za powierzone dokumenty, które w zdecydowanej większości przypadków będą zawierać dane osobowe. Wynika to z art. 31 ust. 4 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, zgodnie z którym w przypadku powierzenia danych osobowych do przetwarzania innemu podmiotowi, odpowiedzialność za przestrzeganie przepisów ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.
W przypadku archiwizacji dokumentów zawierających dane osobowe konieczne będzie zawarcie umowy powierzenia przetwarzania danych osobowych lub dodanie postanowień dotyczących powierzania danych osobowych do umowy dotyczącej archiwizacji dokumentów.
Zgodnie z ustawą o ochronie danych osobowych umowa powierzenia przetwarzania danych powinna być zawarta na piśmie oraz określać zakres i cel przetwarzania. Na podstawie umowy podmiot zlecający (administrator danych) powierza przetwarzanie określonych danych osobowych (np. dane osobowe pracowników zawarte w dokumentacji pracowniczej) na rzecz zewnętrznej firmy w celu archiwizacji dokumentów.
Firma zajmująca się archiwizacją dokumentów, działając jako podmiot przetwarzający (procesor), jest zobowiązana przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające dane oraz spełnić wymagania określone w przepisach o ochronie danych osobowych m.in. wdrożyć dokumentację ochrony danych osobowych – politykę bezpieczeństwa danych osobowych i instrukcję zarządzania systemem informatycznym. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych. W umowie powierzenia warto zawrzeć także dodatkowe postanowienia, które zabezpieczą interes administratora i powierzone do przetwarzania dane.
W umowie powierzenia warto zastrzec na rzecz administratora danych prawo kontroli zastosowanych przez procesora sposobów ochrony powierzonych danych osobowych oraz prawo do kierowania do procesora zapytań dotyczących ochrony danych w jego organizacji. Należy uregulować sposób wykonania tego prawa, np. poprzez określenie formy zawiadomienia procesora i czasu, po jakim będzie zobowiązany dopuścić administratora danych do przeprowadzenia kontroli lub udzielić odpowiedzi na zapytanie. Dodatkowo należy wskazać, na jakich warunkach i czy w ogóle procesor ma prawo do dalszego powierzenia przetwarzania danych, czyli skorzystania z usług podwykonawcy w zakresie archiwizacji powierzonej dokumentacji.
Wskazane jest także uregulowanie sposobu i terminu zwrotu lub zniszczenia dokumentów po zakończeniu umowy. Zapewni to jasne określenie obowiązków procesora związanych z zakończeniem współpracy i pozwoli uniknąć wątpliwości, kogo obciążają koszty zwrotu dokumentów czy w jakim terminie dokumenty powinny zostać zwrócone lub zniszczone.
W umowie powierzenia można także zastrzec kary umowne na wypadek niewłaściwego wykonywania umowy przez stronę, np. za naruszenia w procesie przetwarzania danych, jakich dopuścił się procesor wykryte w trakcie kontroli.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
