Temat: Dwie firmy w jednym pomieszczeniu - tylko jedna zgłoszona...

Mam taki dylemat:

W jednym budynku w jednym pomieszczeniu dwie firmy wynajmują lokal. Firma 1 ma zgłoszone swoje zbiory danych osobowych do GIODO, Firma 2 nie ma takich zbiorów zgłoszonych bo nie musi. Firma 2 to biuro rachunkowe, które prowadzi m.in. Firmie 1 księgowość czyli zajmuje się sprawami kadrowo-płacowymi. Firma 2 ma swoje stanowiska komputerowe, na których zainstalowany jest m.in. program kadrowo-płacowy i Płatnik, na których oczywiście mają wszystkie dane pracowników Firmy 1 potrzebne do prowadzenia rachunkowości, natomiast nie mają na nich danych kontrahentów Firmy 1. Pracownicy obu firm siedzą koło siebie więc jakby ktoś bardzo chciał to pewnie jakieś dane mógłby odczytać z monitorów komputerów Firmy 1.

Moje pytanie brzmi, czy Firmę 2 trzeba w jakiś sposób uwzględniać w polityce bezpieczeństwa Firmy 1? Jeżeli tak to pracownikom z Firmy 2 trzeba dać upoważnienia do przetwarzania danych Firmy 1, a co w wypadku jeśli oni się nie zgodzą nie mają przecież chyba takiego obowiązku, nie podlegają nikomu z Firmy 1, nie są ich pracownikami. Program kadrowo-płacowy Firmy 2 ma bazę na serwerze w innym mieście, do której mają dostęp też pracownicy tej firmy w innym mieście, którzy to pracownicy pomimo, że nie przebywają w pomieszczeniach Firmy 1 też pracują na danych kadrowo-płacowych Firmy 1, czy Ci pracownicy też muszą mieść upoważnienia od Firmy 1? Czy może nie potrzebnie zawracam sobie tym głowę i to nie ma znaczenia, że inna firma wynajmuje lokal w tym samym pomieszczeniu i może nie trzeba ich uwzględniać w polityce bezpieczeństwa?

Temat: Dwie firmy w jednym pomieszczeniu - tylko jedna zgłoszona...

Nie ma znaczenia gdzie firmy się znajdują (co najwyżej utrudni to opisanie stanu faktycznego w dokumentacji i odpowiedniego zabezpieczenia danych ) - mamy tutaj tak naprawdę do czynienia z klasycznym przykładem powierzenia danych osobowych - a więc umowa powierzenia i firma 2 wydaje upoważnienia swoim pracownikom upoważnienie do przetwarzania danych osobowych. I dalsze powierzenie danych osobowych Firmy 2 dla firmy która udostępnia serwer dla programu płacowo- kadrowego, gdzie na takie powierzenie powinna wyrazić zgodę Firma nr 1 w umowie powierzenia :). A że sytuacja jest dość zawiła - dobrze opisać w polityce Firmy 1 i w polityce Firmy 2 :)

Temat: Dwie firmy w jednym pomieszczeniu - tylko jedna zgłoszona...

Ja na miejscu firmy 1 umieściłbym informacje na temat przepływu ściśle określonych danych z mojego zbioru do firmy 2 w konkretnym celu. Firma 2 nawet jeśli nie ma obowiązku zgłaszania zbioru to musi te dane chronić. Moim zdaniem kwestia skonstruowania dobrej umowy między tymi firmami.