Pytanie użytkownika LEX Ochrona Danych Osobowych:
Jak powinna wyglądać korespondencja mailowa z klientami? Chodzi dokładnie o przesyłanie skanów faktur, umów, które dostarczył klient, a po pewnym czasie potrzebuje tą fakturę, umowę i prosi o przesłanie jej skanu. Czy taka wymiana informacji musi być chroniona hasłem? Jak należy postąpić w przypadku, gdy biuro wysyła mailowo do klienta informację o wysokości podatków za dany miesiąc?
Odpowiedź
Treść umów powierzenia przetwarzania danych osobowych, jakie powinny być zawarte między biurem rachunkowym z pytania Czytelnika (jako procesorem, czyli podmiotem przetwarzającym) a jego klientami (jako administratorami danych; dalej: ADO), powinna być zgodna z art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. 119, s. 1) – dalej RODO.
Mianowicie: należy w niej określić przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa ADO. Natomiast, zgodnie z lit. c w/w przepisu RODO, procesor w szczególności podejmuje wszelkie środki wymagane na mocy art. 32 RODO (czyli środki organizacyjne i techniczne zapewniające bezpieczeństwo przetwarzania danych osobowych).
W świetle art. 32 ust. 1 RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, ADO i procesor wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
- pseudonimizację i szyfrowanie danych osobowych;
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 32 ust. 2 RODO).
Z przepisu art. 32 RODO w żaden sposób nie wynika więc, aby w stanie faktycznym opisanym w pytaniu Czytelnika, konieczne było zabezpieczanie przesyłania klientom w e-mailu zeskanowanych dokumentów czy informacji, np. o wysokości podatku za dany miesiąc, hasłem.
Wystarczające będzie, gdy procesor w taki sposób zorganizuje pracę biura rachunkowego, aby dostęp do danych osobowych klientów miały wyłącznie osoby do tego upoważnione (czyli tu – osoby działające z upoważnienia właściciela biura rachunkowego), a korespondencja elektroniczna będzie przesyłana tylko na, wskazany przez ADO (czyli klientów biura rachunkowego), adres e-mail. Sam dostęp do komputera może być zaś chroniony hasłem, które będzie znane tylko osobom upoważnionym do przetwarzania danych osobowych klientów. Natomiast to hasło może być np. co miesiąc zmieniane.
 |
Więcej informacji i narzędzi znajdziesz w programie LEX Ochrona Danych Osobowych Bądź na bieżąco ze zmianami prawnymi i korzystaj z aktualnych materiałów |  |
RODO
Potrzebujesz WIĘCEJ wiarygodnych informacji o zagadnieniu RODO? Sprawdź, co jeszcze na ten temat znajdziesz w LEX.
LEX Search – nowa wersja wyszukiwarki LEX z elementami sztucznej inteligencji. Chcesz łatwiej i szybciej znaleźć właściwe dokumenty?
Sprawdź, co zyskasz dzięki LEX Search >>
