Nie do wszystkich krajów

Jak spółki IT mogą bezpiecznie przekazywać innym spółkom dane osobowe zawarte w zamówieniach.

W dobie globalizacji zamówienia składane w jednej spółce niejednokrotnie są realizowane przez lub we współpracy z innymi spółkami, w tym ze spółkami w innych państwach. W takim przypadku spółka przyjmująca zamówienie (administrator danych osobowych) musi zagwarantować, że przetwarzanie tych danych będzie odbywało się zgodnie z przepisami ustawy o ochronie danych osobowych (dalej UoDO), aktami wykonawczymi do niej oraz przepisami szczególnymi innych ustaw.

Załóżmy, że polska spółka IT, będąca częścią międzynarodowej grupy kapitałowej, ma zamiar przyjmować online zamówienia na sprzęt IT, którego podzespoły będą produkowane przez inną spółkę z grupy kapitałowej w Chinach; rozliczenia księgowe zamówień będą dokonywane na serwerach należących do innej spółki w Stanach Zjednoczonych; reklamacje sprzętu będą realizowane na zlecenie polskiej spółki przez spółkę w Czechach, a obsługą klienta będzie zajmować się call center w Indiach. W takiej sytuacji, polska spółka powinna ustalić, czy, jakie i w jaki sposób dane osobowe zawarte w zamówieniach będą przetwarzane, na jakiej podstawie prawnej, czy wszystkie dane osobowe muszą koniecznie zostać udostępnione poszczególnym spółkom w Chinach, Indiach, Czechach i w Stanach Zjednoczonych oraz na jakiej podstawie prawnej ww. spółki będą te dane przetwarzać.

Przetwarzaniem danych osobowych w rozumieniu UoDO jest jakakolwiek operacja wykonywana na danych osobowych: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie.

Polska spółka powinna na samym początku zidentyfikować, które dane będą danymi osobowymi. Zgodnie z UoDO, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Jeżeli składającym zamówienie będzie osoba fizyczna, która poda imię, nazwisko, telefon, adres, NIP, e-mail i zostanie jej nadany numer identyfikacyjny w systemie IT spółki, to wszystkie te dane łącznie będą danymi osobowymi.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200