Pytanie
Czy osoby prawne (spółka z o.o.) mają obowiązek zgłoszenia do GIODO zbiory danych osobowych oraz administratora bezpieczeństwa informacji, jeśli spółka przetwarza dane osobowe wyłącznie swoich pracowników, byłych pracowników, kandydatów na pracowników oraz swoich klientów w celu wystawienia faktury za zakupione towary lub usługi?
Według pracodawcy w tym przypadku spółka nie ma obowiązku rejestracji ww. zbiorów zgodnie z art. 43 ust. 1 pkt 4 i 8 ustawy.
Z uwagi na brak obowiązku rejestracji zbiorów spółka uważa, że spółka nie ma również obowiązku zgłaszania do GIODO administratora bezpieczeństwa informacji, jeśli jest to pracownik spółki, odpowiedzialny za wdrożenie i stosowanie przepisów ustawy o ochronie danych osobowych, natomiast ma obowiązek jego powołania.
Spółka jest zobowiązana do opracowania polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym.
W przypadku powierzenia przetwarzania danych osobowych podmiotowi zewnętrznemu ma obowiązek zawarcia z nim umowy na przetwarzanie danych osobowych.
Czy spółka postępuje prawidłowo?