Tym razem nie do mnie, lecz do Dziennika Internautów. Rzecz dotyczy urzędu w małym mieście, w którym urzędnicy musieli zmierzyć się z awarią systemu informatycznego. Oczywiście, nie szukali błędu w kodzie systemu samodzielnie. Od razu postanowili przekazać sprawę (wraz z całą zapisaną w systemie bazą danych, a więc m.in. danymi osobowymi mieszkańców) zewnętrznej firmie informatycznej. I tu pojawił się problem…

Urzędnicy zaczęli się zastanawiać, i słusznie, czy wolno im przekazać dane osobowe podmiotowi trzeciemu? Teoretycznie, informatycy powinni zająć się jedynie naprawą błędu w systemie. Nie zmienia to jednak faktu, że w toku serwisowania systemu uzyskają oni pełny wgląd w przechowywane w nim dane osobowe wraz z dokładnymi informacjami na temat spraw prowadzonych przez urząd i powiązanych z konkretnymi danymi osobowymi mieszkańców.

Z prośbą o komentarz w tej sprawie zwrócił się do mnie wspomniany Dziennik Internautów. Można go przeczytać tutaj.

W mojej ocenie przedstawiony problem dotyczy instytucji powierzenia przetwarzania danych osobowych i pojawia się w praktyce dość często, choć przybiera przy tym różne formy. Każdy jednak przypadek outsourcingu musimy analizować pod kątem ewentualnych zagrożeń i obowiązków w sferze ochrony danych osobowych.

Więcej na temat outsourcingu w kontekście ochrony danych osobowych możecie przeczytać także w jednym z moich poprzednich wpisów.