Porada prawna on-line

NAJNOWSZE ARTYKUŁY

Zdjęcia osób połączonych liniami.

Powierzenie przetwarzania danych osobowych

Powierzenie danych osobowych to wbrew pozorom częsta praktyka. Na co dzień spotykają się z tym problemem osoby, które zajmują się outsourcingiem pewnych usług, takich jak np. księgowość czy marketing lub stosują zewnętrzne oprogramowanie np. do obsługi wysyłki newsletterów. W każdym z tych przypadków, nawet jeśli przedsiębiorca nie do końca zdaje sobie z tego sprawę, dochodzi do powierzenia podmiotowi zewnętrznemu danych osobowych. Jakie obowiązki ciążą na administratorze bazy danych? Jakie dane może przekazać? Na jakiej podstawie? Na te pytania odpowiem w poniższym tekście.

Zakres danych, jakie wolno powierzyć innemu podmiotowi, nie został określony w ustawie. Można więc przyjąć, iż jest on ograniczony do samego pojęcia danych osobowych. Nie oznacza to jednak, że każdą informację będącą daną osobową wolno powierzyć podmiotowi zewnętrznemu. Ograniczenia w zawieraniu umów o przetwarzanie danych osobowych mogą wynikać z przepisów szczególnych, których przykładem jest art. 6d Prawa bankowego, według którego zawarcie takiej umowy może być uzależnione od uzyskania zezwolenia KNF. Do powierzenia nie jest jednak wymagana zgoda osoby będącej dysponentem danych, ani nie musi ona być o tym fakcie informowana. Należy jednak wskazać na istotną różnicę pomiędzy powierzeniem a przekazaniem, która tyczy się materii przedmiotowej. Przekazanie danych następuje wtedy, gdy podmiot, któremu przekazano dane, wykorzystuje je do własnych celów i we własnym imieniu, zaś powierzenie vice versa – przetwarzanie następuje na rzecz i w imieniu administratora. Z różnicy tej wynikają liczne obowiązki dla obu stron.

Podstawą do powierzenia przetwarzania danych osobowych jest art. 31 ustawy o ochronie danych osobowych (Dz.U. z 2015 r. poz. 2135). Zgodnie z ust. 1 administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Przepis ten nie reguluje jednak skutków nie zawarcia pisemnej umowy. W ocenie GIODO dla umów o powierzenie danych osobowych należy stosować wyłącznie formę pisemną (“Sprawozdanie GIODO za rok 2003”, str. 130), choć nie wynika to bezpośrednio z przepisów.

Art. 31 ust. 1 ustawy o ochronie danych osobowych wskazuje także na podmiotowy zakres prawa do powierzenia przetwarzania danych. Jedynym podmiotem uprawnionym do powierzenia jest administrator danych osobowych, a więc zgodnie z definicją zawartą w ustawie organ, jednostka organizacyjna, osoba fizyczna, osoba prawna lub podmiot niepubliczny, które decydują o celach i środkach przetwarzania danych osobowych. Druga stroną umowy jest podmiot, któremu dane są powierzane. Należy jednak zwrócić uwagę, że nie jest możliwe powierzenie przetwarzania danych każdej jednostce – podmiot ten musi bowiem spełniać wymogi odnośnie zabezpieczania danych osobowych.

Zgodnie z art. 31 ust 2 ustawy, podmiot, któremu powierzono dane, nie może przetwarzać danych w zakresie szerszym, niźli wynikałoby to z umowy. Za każde przekroczenie uprawnień w tym zakresie odpowiada sam, z pominięciem administratora danych osobowych, chyba że o procederze wiedział lub nie zachował dostatecznych środków ostrożności. Z samej umowy zaś nie może wynikać szerszy zakres przetwarzania danych, niż może to robić administrator, zgodnie z zasadą nemo plus iuris in alium transferre potest quam ipse habet, czyli nikt nie może przenieść na innego więcej praw, niż sam posiada.

O zabezpieczeniu danych osobowych przez osobę, której powierzono przetwarzanie danych, wspominałem już wcześniej. Ochrona danych jest w tym przypadku de facto dwojaka. Odpowiedzialnym w razie wyrządzenia szkody wobec uprawnionego za ochronę danych osobowych pozostaje bowiem administrator danych osobowych na zasadzie winy w wyborze przetwarzającego dane (na podstawie art. 429 Kodeksu cywilnego). Ustawa jednak nakłada na osobę, której powierzono przetwarzanie danych, obowiązek podjęcia środków zabezpieczających dane w taki sposób, jak tyczy się to administratora bazy danych. Niemniej jednak to administrator jest bezpośrednio odpowiedzialny przed osobą, która jest dysponentem danych – może jednak umownie zobowiązać osobę, której powierzył dane do zapłaty kary umownej lub innego rodzaju odpowiedzialności za szkodę.

Ponadto, zgodnie z przepisami ustawy, podmiot, któremu powierzono ochronę danych osobowych, może być podmiotem kontroli dokładnie w takim samym zakresie, jak administrator danych. Może więc być kontrolowany przez PiP oraz GIODO, a za brak odpowiednich zabezpieczeń odpowiada oddzielnie od administratora.

Jak to wygląda w praktyce? Należy zadbać o to, by w umowach powierzenia przetwarzania danych osobowych znajdowały się podstawowe klauzule, które zagwarantują administratorowi przynajmniej minimum pewności, że nie będzie problemów związanych z zabezpieczaniem danych. Pierwsza z nich powinna określać zakres środków zabezpieczenia, które kontrahent zobowiązany jest podjąć (pod rygorem kary umownej). Powyższe to absolutna podstawa, o której wielu zapomina, a która pozwala uniknąć ryzyka narażenia się na zarzut niedostatecznej staranności przy powierzaniu danych. Druga sprawa – warto zagwarantować sobie prawo do kontroli przetwarzania danych osobowych. Oczywiście, nie zalecamy permanentnej inwigilacji, jednak warto raz na jakiś czas sprawdzić co się dzieje z danymi.

Zagadnień dotyczących umowy powierzenia danych osobowych jest wiele więcej, a tekst ten sygnalizuje tylko niektóre aspekty powierzenia danych. Nie warto jednak pisać kontraktu samemu, jeśli nie ma się w tej dziedzinie wiedzy i doświadczenia, bowiem jest to zagadnienie szerokie i potencjalnie ryzykowne. Dlatego też skorzystaj z poniższego formularza i zleć to zadanie profesjonalistom.

MASZ PYTANIE?