Tomasz Zoll

Tomasz Zoll Informatyk

Temat: Niszczenie danych osobowych

Witam serdecznie.

W przypadku oddania do niszczenia firmie prywatnej dokumentacji niearchiwalnej zawierającej dane osobowe konieczne jest podpisanie z tą firmą umowy powierzenia przetwarzania danych osobowych (oprócz oczywiście umowy na wykonanie usług niszczenia)? Jak wiadomo - niszczenie danych osobowych jest ich przetwarzaniem.

Pozdrawiam.
Arkadiusz Reiter

Arkadiusz Reiter RA Secure Arkadiusz
Reiter - Ochrona
danych osobowych,
IO...

Temat: Niszczenie danych osobowych

Nie nie należy podpisywać umowy na powierzenie danych.
Należy jedynie zawrzeć zapisy o zachowaniu tajemnicy oraz oczywiście przekazany protokół i certyfikat zniszczenia :)
Tomasz Zoll

Tomasz Zoll Informatyk

Temat: Niszczenie danych osobowych

Napewno nie należy ? A co wy na to ?:)

http://www.giodo.gov.pl/329/id_art/3090/j/pl/

Temat: Niszczenie danych osobowych

Arkadiusz Reiter:
Nie nie należy podpisywać umowy na powierzenie danych.
Należy jedynie zawrzeć zapisy o zachowaniu tajemnicy oraz oczywiście przekazany protokół i certyfikat zniszczenia :)

Ilekroć w ustawie jest mowa o:
przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,

Skoro nie będzie umowy powierzenia przetwarzania pojawia się pytanie na jakiej podstawie firmie niszczącej zostaną przekazane dane osobowe (udostępnione) i na jakiej podstawie firma ta będzie niszczyć dokumenty (usuwać). W tym przypadku umowa powierzenia to najwłaściwszy wybór.
Tomasz Zoll

Tomasz Zoll Informatyk

Temat: Niszczenie danych osobowych

No właśnie - zgadzam się z kolegą :)
Przemysław Osiak

Przemysław Osiak zarządzanie w IT /
project management/
project portfolio
...

Temat: Niszczenie danych osobowych

Administrator danych może powierzyć innemu podmiotowi, w
drodze umowy zawartej na piśmie, przetwarzanie danych (art. 31 ust. 1 UODO).
Podpisanie umowy powierzenia przetwarzania danych z firmą, której zleca się zniszczenie dokumentów zawierających dane osobowe jest dobrym rozwiązaniem ale nie jedynym.
Inne, to po prostu upoważnienie pracowników firmy niszczącej do dostępu do danych osobowych - rozwiązanie dużo prostsze a równie legalne. Oczywiście w takim przypadku w samej umowie na wykonanie zniszczenia dokumentów dobrze byłoby zawrzeć klauzule zobowiązujące wykonawcę do przestrzegania zasad ochrony danych osobowych.Przemysław Osiak edytował(a) ten post dnia 28.04.10 o godzinie 13:21
Tomasz Zoll

Tomasz Zoll Informatyk

Temat: Niszczenie danych osobowych

Wg. mnie prostszym rozwiązaniem jest podpisanie umowy powierzenia przetwarzania danych - ponieważ żeby wystawić upoważnienie należy najpierw przeszkolić pracowników firmy zewnętrznej, pozatym pojawiły by się problemy z okresem trwania upoważnienia itp.
Przemysław Osiak

Przemysław Osiak zarządzanie w IT /
project management/
project portfolio
...

Temat: Niszczenie danych osobowych

Pytał Pan czy podpisanie umowy przetwarzania jest konieczne, a odpowiedź na tak postawione pytanie brzmi: nie, nie jest konieczne, ponieważ są inne prawnie dopuszczalne możliwości.
Którą z tych możliwości Pan wybierze to już Pana odpowiedzialność.
Tomasz Zoll

Tomasz Zoll Informatyk

Temat: Niszczenie danych osobowych

Zgadzam się z Panem, że nie jest konieczne, aczkolwiek w moim mniemaniu jest prostsze, niż udzielanie upoważnień. Temat uważam za zamknięty. Dziękuję za pomoc :)
Arkadiusz Reiter

Arkadiusz Reiter RA Secure Arkadiusz
Reiter - Ochrona
danych osobowych,
IO...

Temat: Niszczenie danych osobowych

więc jak widać na dwoje babka wróżyła...aczkolwiek raczej zgodzę się że należy podpisać umowę ale można w niej zawrzeć powierzenie przetwarzania danych. Firmy poza tym mają już przygotowane szablony umów , posiadają odpowiednie certyfikaty więc w sumie nie ma z nimi żadnych problemów. Wystarczy tylko dobrze wczytać się w szczegóły umowy.Arkadiusz Reiter edytował(a) ten post dnia 28.04.10 o godzinie 13:37
Sławomir G.

Sławomir G. Inspektor Ochrony
Danych (DPO), Prezes
Stowarzyszenia,
wy...

Temat: Niszczenie danych osobowych

Arkadiusz Reiter:
Nie nie należy podpisywać umowy na powierzenie danych.
Należy jedynie zawrzeć zapisy o zachowaniu tajemnicy oraz oczywiście przekazany protokół i certyfikat zniszczenia :)
Podobnie jak moi przedmówcy nie zgodzę się z Tobą Arku.

Są 3 wyjścia:
1. Umowa powierzenia przetwarzania danych osobowych
2. Odpowiednia klauzula tego dotycząca w umowie ogólnej
3. Nadanie upoważnienia do przetwarzania danych osobowych pracownikom firmy zajmującej się niszczeniem.

Osobiście uważam, że jednym z lepszych rozwiązań jest dodanie klauzuli w umowie. Dlaczego? A no dlatego, że po pierwsze nie tworzymy dokumentacji dotyczącej jednego wydarzenia (umowa + kolejna umowa/lub upoważnienia) a tylko jeden, w którym przedstawiamy pełny obraz usługi wraz z upoważnieniami i określeniem restrykcji.

Oczywiście bez względu na moje skromne zdanie - każde z trzech rozwiązań jest legalne i odpowiednie.
Barbara Pióro

Barbara Pióro ABI, Prezes Zarządu,
Global Information
Security Sp. z o.o.

Temat: Niszczenie danych osobowych

W nawiązaniu do powyższych wypowiedzi, nie jest wymagane podpisanie odrębnej umowy powierzenia przetwarzania danych osobowych, ale umowa główna (zlecenie niszczenia) powinna zawierać postanowienia, które spełniają wymogi art. 31 ODO, przez co będę czyniły umowę główną również umową powierzenia przetwarzania danych osobowych.

konto usunięte

Temat: Niszczenie danych osobowych

Jeśli firma niszcząca dokumenty posiada certyfikat bezpiecznego niszczenia, to umowa powierzenia nie jest konieczna.

Temat: Niszczenie danych osobowych

Jacek Zontek:
Jeśli firma niszcząca dokumenty posiada certyfikat bezpiecznego niszczenia, to umowa powierzenia nie jest konieczna.
A mozna jakas podstawe do tego twierdzenia (przepis, orzeczenie, decyzja GIODO etc.)?

konto usunięte

Temat: Niszczenie danych osobowych

Substytut umowy powierzenia przetwarzania danych osobowych:

1. http://www.giodo.gov.pl/329/id_art/3090/j/pl/

2. wystawienie CERTYFIKATU ZNISZCZENIA zaświadczającego, że proces niszczenia uniemożliwił osobom nieupoważnionym dostęp do niszczonych danych zgodnie z treścią ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (tekst jednolity Dz. U. 2002 r. nr 101 poz. 926 z późniejszymi zmianami)
3. praktyka znajomego kontrolera GIODO ;)

P.S. A tak na poważnie, znalazłem tą interpretację w którymś w miarę poważnych komentarzy prawniczych w litraturze ODO. Jeśli ktoś Was się też na to natknął, to proszę o wskazanie tekstu źródłowego. Jeśli nie, to sam będę musiał ...

Temat: Niszczenie danych osobowych

Jacek Zontek:
3. praktyka znajomego kontrolera GIODO ;)

Hehe na to trudno powolac sie w sadzie. Z GIODO to generalnie nie ma wiekszych problemow bo sa urzedem dosc elastycznym i bywaja innowacyjni w swoich interpretacjach (zreszta sam bylem inspektorem w GIODO wiem jak to wyglada :P).

Problem jest gdy osoba trzecia "wytarmosi" decyzje Giodo i postepowanie przedsiebiorcy przed sadami i wowczas trzeba miec dobre argumenty: przepisy, orzecznictw sadow etc.

Inna sprawa, ze nie polecalbym nikomu rozwiazania opartego wylacznie na certyfikacie - i tak z firma warto podpisac umowe, co za problem uregulowac tam powierzenie przetwarzania :) To nie stwarza zadnych problemow, a pozwala ich uniknac :)

Temat: Niszczenie danych osobowych

Jacek Zontek:
Jeśli firma niszcząca dokumenty posiada certyfikat bezpiecznego niszczenia, to umowa powierzenia nie jest konieczna.
Panie Jacku, nie spotkałam się z takimi certyfikatami, czy może Pan przybliżyć temat?
W toku dyskusji nikt nie wspominał o poświadczeniach bezpieczeństwa dla pracowników firmy niszczącej - czy teraz się ich nie "wyrabia" i nie wymaga?
Ustawa o o.d.o przedstawia pewną procedurę powierzenia danych do zniszczenia:jeżeli dane się powierza, to zawiera się umowę lub podpisuje klauzule powierzenia (innymi słowy, jeżeli ustawa zezwala na powierzenie - słowo"może" - to zleceniodawca musi taką umowę/klauzulę zawrzeć); zanim się udzieli zlecenia, należy sprawdzić, czy firma niszcząca podjęła środki zabezpieczające zbiór danych (art 36-39a). i tutaj moje pytanie: jeżeli dokumenty są niszczone fizycznie, to po co wymagać od firmy niszcząccej okazania instrukcji zarządzania SI? Czy wystarczy oświadczenie tej firmy, że działa zgodnie z ustawą o o.do i ponosi pełną odp. za przyjęte dokumenty (art. 51 i 52)?
Michał Faber

Michał Faber ABI/Audytor ODO &
ISO 27001

Temat: Niszczenie danych osobowych

oczywiście należy z firmą niszczącą podpisać umowę powierzenia (albo zawrzeć odpowiednie zapisy w głównej umowie jak sugeruje Pani Barbara), bo przecież to też przetwarzanie - wymagane zapisy są opisane w Art.31 Ustawy

bez takiej umowy grozi nam odpowiedzialność z Art. 51. i Art. 52.
Jacek Zontek:
2. wystawienie CERTYFIKATU ZNISZCZENIA zaświadczającego, że proces niszczenia uniemożliwił osobom nieupoważnionym dostęp do niszczonych danych zgodnie z treścią ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (tekst jednolity Dz. U. 2002 r. nr 101 poz. 926 z późniejszymi zmianami)

nie słyszałem o takim certyfikacie, za to słyszałem że GIODO w ogólności odcina się od wszelkich "certyfikatów" i wskazuje na podstawę prawną jaką jest Ustawa: "W związku z powoływaniem się przez niektóre podmioty na posiadanie "certyfikatu GIODO" Biuro Generalnego Inspektora Ochrony Danych Osobowych informuje, iż Generalny Inspektor Ochrony Danych Osobowych, ani żaden inny podmiot, nie wydaje certyfikatów, których posiadanie jest warunkiem legalności przetwarzania danych. Zatem ewentualne certyfikaty wydane przez inne podmioty nie mają znaczenia z punktu widzenia dopuszczalności przetwarzania danych przez posiadacza takiego dokumentu. "

to że firma niszcząca uniemożliwi dostęp do niszczonych danych osobom nieupoważnionym wynika z nałożonych na nią obowiązków z umowie powierzenia (Art. 36-39a) ALE nie chodzi tylko o osoby trzecie które nie zobaczą tych danych, bo zostaną one wcześniej zniszczone, ale także o osoby nieupoważnione w ramach tej firmy niszczącej

wszystko na ten temat jest w Art.31 i Art. 36-39a

niestety praktyka jest taka, że podwykonawcy np. firmy niszczące dokumenty/nośniki, firmy hostingowe, firmy serwisujące sprzęt, firmy sprzątające, ochroniarskie itd. celowo unikają podpisywania umów powierzenia żeby uniknąć odpowiedzialności za powierzane dane - jeśli się na to godzimy, ale warto mieć świadomość Art. 51. i Art. 52. (grzywna, ograniczenie i pozbawienie wolności) oraz ewentualnych trudności w dochodzeniu odpowiedzialności cywilnej od takiego podwykonawcy

Następna dyskusja:

Poprawne niszczenie zbioru ...




Wyślij zaproszenie do