Temat: Przekazanie danych osobowych w związku z wdrożaniem...

Witajcie,

Mam takie pytanie. Firma planuje zmienić program kadrowo-płacowy. Były pokazy róznych programów. Jedna firma przypadła do gustu. Siedziba tej firmy jest oddalona kilkaset kilometrów od "mojej" firmy. Po podpisaniu umowy muszę przekazać dane z istniejącego programu w celu dokonania importu do nowego programu. Pytania są następujące:
- jak przekazać dane - kurierem? osobiście? inny sposób?
- co powinien zawierać protokół przekazania? jakieś szczególne punkty?
- jakie dokumenty powinna przekazać firma wdrażajaca w zwiazku z otrzymaniem i przetwarzaniem danych "mojej" firmy.
Dodam że do przetworzenia są istotne dane, m.in.: lista płac

Proszę o sugestie :)

Temat: Przekazanie danych osobowych w związku z wdrożaniem...

Jest tylko jedno rozwiązanie tej sprawy, które spełniać będzie wymogi ustawy, a więc podpisanie z tą firmą umowy o przetwarzanie danych osobowych. A sposób przekazania to już zależy od oceny ryzyka.

Temat: Przekazanie danych osobowych w związku z wdrożaniem...

Tak jak napisał Łukasz, w tym przypadku konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych (uodo art. 31), dane trafiają "na zewnątrz struktur ADO" więc nie podlega to dyskusji.

Co do zabezpieczenia przesyłanych danych:
UODO Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Tyle w tym zakresie w UODO. To ADO musi zdecydować o środkach ochrony danych, które muszą być adekwatne do ryzyka naruszenia ich bezpieczeństwa. Lepiej przesłanie danych zabezpieczyć zbyt dobrze (choć nigdy chyba nie może być za dobrze) niż za słabo.Wojciech Kogut edytował(a) ten post dnia 29.03.09 o godzinie 15:50

Temat: Przekazanie danych osobowych w związku z wdrożaniem...

Witam,
Rozporządzenie też nie jest bardzo pomocne, ale przynajmniej daje wskazówki jak podejść do ochrony:
„B. Środki bezpieczeństwa na poziomie podwyższonym
IX
Urządzenia i nośniki zawierające dane osobowe, o których mowa w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, przekazywane poza obszar, o którym mowa w § 4 pkt 1 rozporządzenia, zabezpiecza się w sposób zapewniający poufność i integralność tych danych.”

Jeśli przekazywać na nośniku to na nośniku, który będzie zawierał zaszyfrowane dane (poufność). Najlepiej podpisane cyfrowo (integralność). Do tego dołożyłbym „bezpieczną kopertę” – potwierdzenie poufności, potwierdzenie odbioru przez wskazaną osobę – nadal zachowanie poufności.
Zresztą może prościej będzie przekazać dane w postaci elektronicznej. Kurier to dodatkowe ograniczenia i problemy.

Dalej dochodzą kwestie skutecznego usunięcia danych przez wykonawcę zlecenia po wykonaniu usługi i przekazanie danych z powrotem.

Wszystkie te kwestie tak jak przedmówcy wspomnieli powinna regulować umowa o powierzeniu przetwarzania danych.

Oddzielną kwestią jest na przykład użycie danych zaanonimizowanych do testów, a praktyczną migracji wykonywana w momencie instalacji aplikacji - odchodzi wtedy sporo zbędnej papierologi.