Powierzenie danych do przetwarzania
ostatnia aktualizacja 0

Powierzenie danych do przetwarzania

Hosting, outsourcing, zlecenie wysyłki wiadomości? To powszechne praktyki rynkowe i normalne działanie.

W sensie prawnym „oddanie” naszej bazy email do innego podmiotu (nawet z tej samej grupy kapitałowej) nie może być bezrefleksyjne. Powinno zostać zabezpieczone. W jaki sposób? Poprzez umowę o powierzenie danych osobowych do przetwarzania.

Nigdzie nie jest powiedziane, że administrator danych osobowych musi samodzielnie wykonywać wszelkie czynności związane z przetwarzaniem danych. Może komuś zlecić zarówno cały proces (np. przeprowadzenie kampanii marketingowej, której elementem jest pozyskanie danych i zgód, specjalnej agencji) jak i pojedyncze zadania (np. zniszczenie nośników danych osobowych przez profesjonalny podmiot).

Umowa ustna czy pisemna, zlecenie czy o dzieło?

Powierzenie do przetwarzania następuje w drodze umowy zawartej na piśmie. Co do rodzaju umowy, ustawodawca pozostawił stronom swobodę – nie jest wymagane, aby powierzeniu do przetwarzania towarzyszyło wyłącznie umowie zlecenia. Choć oczywiście, najczęściej będzie to umowa o świadczenie usług – czyli właśnie zlecenie. Często w praktyce można się spotkać z pytaniami czy umowa o powierzeniu danych do przetwarzania zawarta w formie ustnej jest ważna. Oczywiście, że tak, będzie. W przepisie art. 31 ustawy o ochronie danych osobowych nie przewidziano rygoru nieważności. Skutek zawarcia umowy ustnej będzie taki, że będzie ona obowiązywała, jednak łatwo wyobrazić sobie, że w razie ewentualnego sporu stron, mogą one napotkać trudności dowodowe w zakresie jej treści.

Najważniejszym elementem takiej umowy jest dokładne określenie zakresu przekazywanych danych (rodzaju danych, np. imienia i nazwiska, adresu, numeru PESEL) oraz celu, w jakim mają one być przetwarzane (np. realizacji wysyłki ofert). Dodatkowym zalecanym elementem jest również wprowadzenie mechanizmu sankcjonującego ewentualne naruszenie przepisów ustawy lub umowy przez podmiot, któremu dane zostały przekazane.

Podmiot przetwarzający a administrator danych

Podmiot przetwarzający dane na podstawie umowy powierzenia nie staje się administratorem danych – funkcję tę zachowuje dotychczasowy administrator. Wynika to w szczególności z faktu, że przetwarzający w żadnym momencie nie uzyskuje możliwości decydowania o zakresie przetwarzanych danych ani też o celach ich przetwarzania. Zadaniem przetwarzającego jest wyłącznie wykonanie woli administratora danych. Oznacza to, że podmiot przetwarzający dane nie zgłasza zbioru do rejestru prowadzonego przez GIODO, nie ciążą na nim również obowiązki informacyjne względem osoby, której dane dotyczą.

Nie ma również żadnych przeciwwskazań, aby elementy konieczne umowy o powierzenie danych do przetwarzania (zakres i cel) znalazły się w postaci postanowień umowy cywilnoprawnej np. o świadczenie usług (może to być jedynie element innej umowy, a nie samodzielny, odrębny dokument)

Czyli jest możliwe, a nawet zdarza się często, że otrzymacie do podpisu umowę, która będzie nosiła zupełnie inną nazwę, a jej załącznikiem lub jedynie krótkim paragrafem w środku będzie sformułowanie o powierzeniu danych do przetwarzania.

tumblr_nthmr4bBnU1slhhf0o1_1280

Administrator danych ma możliwość kontrolowania podmiotu, któremu powierzył przetwarzanie danych, oraz kierowania do niego wytycznych dotyczących przetwarzania danych. Wynika to z faktu ponoszenia przez administratora danych odpowiedzialności za przetwarzane dane. Zapewnienie ich bezpieczeństwa byłoby niemożliwe w przypadku pozbawienia administratora uprawnień kontrolnych.

W celu usprawnienia współpracy stron w zakresie kontroli przetwarzania danych osobowych, rekomendowane jest umowne ustalenie zasad przeprowadzania takiej kontroli.

 Nie ma konieczności informowania o takim powierzeniu; w związku z czym zazwyczaj osoby, których dane dotyczą, nie mają świadomości, że ich dane przetwarza podmiot inny niż administrator danych.

Kogo poinformować?

Administrator danych powierzający przetwarzanie danych innemu podmiotowi nie musi, co prawda, powiadamiać o tym osób, których dane dotyczą, jednak jest zobowiązany do wskazania tego faktu w rejestrze prowadzonym przez GIODO.

Wola powierzenia danych do przetwarzania podmiotowi trzeciemu powinna być ujawniona już na etapie zgłaszania zbioru do rejestracji, a jeśli wystąpiła już po rejestracji zbioru – w zgłoszeniu aktualizacyjnym.

Administrator ma obowiązek ujawnienia w rejestrze nazwy podmiotu przetwarzającego dane oraz adresu jego siedziby lub miejsca zamieszkania.

Na koniec pamiętajcie — osoba, której dane dotyczą (odbiorca e-maila, użytkownik, każdy z nas), nie musi wyrażać zgody na przetwarzanie jej danych nie przez administratora, ale przez podmiot trzeci na podstawie umowy powierzenia

Czy spotkaliście się już kiedykolwiek z umową o powierzenie danych do przetworzenia? Macie pytania, wątpliwości? Podzielcie się nimi w komentarzach poniżej.

Subskrybuj, aby otrzymywać top artykuły, wskazówki i porady marketingowe.

GetResponse Sp. z o.o. potrzebuje danych zawartych w tym formularzu w celu dostarczenia Ci materiałów, o które wnioskujesz. Więcej informacji znajdziesz w Polityce Prywatności.

Dziękujemy za rejestrację!

Niedługo wyślemy Ci wiadomość email z potwierdzeniem zapisu.