Szanowni Członkowie
W związku z wieloma wątpliwościami odnośnie otrzymanego z Tui wezwania do odesłania podpisanych przez klientów umów pragniemy przedstawić jak wygląda sytuacja od strony ustawy o ochronie danych osobowych:
- konieczność odesłania umowy wynika wprost z §9. pkt. 9. Umowy agencyjnej.
- agent dysponuje zbiorem danych osobowych tylko z upoważnienia TO, na każde wezwanie musi ten zbiór przekazać TO
- agent nie ma prawa przechowywać takiego zbioru bez zgody T)
- agent jest zobowiązany przechowywać umowy zgodnie z ustawą czyli np zabezpieczyć je przed zniszczeniem w skutek np zalania
- celowe zniszczenie zbioru danych osobowych np poprzez spalenie jest zagrożone konsekwencjami karnymi
- nieodesłanie umów może skutkować zawiadomieniem do GIODO i wszczęciem u agenta kontroli
Poniżej wskazania z ustawy
USTAWA
z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Art. 7 pkt. 2)
przetwarzanie danych – rozumie się przez to jakiekolwiek operacje wykonywane
na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych
Art. 31
-
Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.
-
Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
-
Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.
-
W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.
-
Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19.
Art. 36
-
Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
-
Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.
-
Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.
Art. 49.
-
Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Art. 52.
Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 53.
Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Reasumując, każdy agent Tui po rozwiązaniu jest zobowiązany odesłać wszystkie umowy. W przypadku ewentualnej kontroli np. Urzędu Skarbowego agent może odesłać kontrolerów do TO, który jest w posiadaniu umów z klientami. Mamy nadzieję że ten komunikat rozwiał wiele wątpliwości i pomoże uporządkować tą kwestię.