Pytanie użytkownika LEX Ochrona Danych Osobowych:
Jak powinna wyglądać korespondencja mailowa z klientami? Chodzi dokładnie o przesyłanie skanów faktur, umów, które dostarczył klient, a po pewnym czasie potrzebuje tą fakturę, umowę i prosi o przesłanie jej skanu. Czy taka wymiana informacji musi być chroniona hasłem? Jak należy postąpić w przypadku, gdy biuro wysyła mailowo do klienta informację o wysokości podatków za dany miesiąc?
Odpowiedź
Treść umów powierzenia przetwarzania danych osobowych, jakie powinny być zawarte między biurem rachunkowym z pytania Czytelnika (jako procesorem, czyli podmiotem przetwarzającym) a jego klientami (jako administratorami danych; dalej: ADO), powinna być zgodna z art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. 119, s. 1) – dalej RODO.
Mianowicie: należy w niej określić przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa ADO. Natomiast, zgodnie z lit. c w/w przepisu RODO, procesor w szczególności podejmuje wszelkie środki wymagane na mocy art. 32 RODO (czyli środki organizacyjne i techniczne zapewniające bezpieczeństwo przetwarzania danych osobowych).
W świetle art. 32 ust. 1 RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, ADO i procesor wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
- pseudonimizację i szyfrowanie danych osobowych;
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 32 ust. 2 RODO).
Z przepisu art. 32 RODO w żaden sposób nie wynika więc, aby w stanie faktycznym opisanym w pytaniu Czytelnika, konieczne było zabezpieczanie przesyłania klientom w e-mailu zeskanowanych dokumentów czy informacji, np. o wysokości podatku za dany miesiąc, hasłem.
Wystarczające będzie, gdy procesor w taki sposób zorganizuje pracę biura rachunkowego, aby dostęp do danych osobowych klientów miały wyłącznie osoby do tego upoważnione (czyli tu – osoby działające z upoważnienia właściciela biura rachunkowego), a korespondencja elektroniczna będzie przesyłana tylko na, wskazany przez ADO (czyli klientów biura rachunkowego), adres e-mail. Sam dostęp do komputera może być zaś chroniony hasłem, które będzie znane tylko osobom upoważnionym do przetwarzania danych osobowych klientów. Natomiast to hasło może być np. co miesiąc zmieniane.
Więcej informacji i narzędzi znajdziesz w programie LEX Ochrona Danych Osobowych Bądź na bieżąco ze zmianami prawnymi i korzystaj z aktualnych materiałów |
RODO
Potrzebujesz WIĘCEJ wiarygodnych informacji o zagadnieniu RODO? Sprawdź, co jeszcze na ten temat znajdziesz w LEX.
LEX Search – nowa wersja wyszukiwarki LEX z elementami sztucznej inteligencji. Chcesz łatwiej i szybciej znaleźć właściwe dokumenty?
Sprawdź, co zyskasz dzięki LEX Search >>