Przetwarzanie danych osobowych: umowa powierzenia

autor: Paweł Gałka

źródło: Rzeczpospolita

źródło: Fotorzepa

źródło: Fotorzepa

+zobacz więcej zdjęć

Redakcja poleca:

• Jeszcze o przekazywaniu danych osobowych za granicę

Transgraniczny przepływ danych osobowych jest koniecznym warunkiem rozwoju handlu międzynarodowego – na ten fragment unijnej dyrektywy zwracają uwagę prawnicy z Dr Krystian Ziemski & Partners Kancelarii Prawnej sp.k.

Przy zawarciu umowy, której wykonywanie wiąże się z przekazywaniem stronie danych osobowych przez stronę będącą ich administratorem (tj. podmiotem decydującym o celach i środkach przetwarzania danych), zawsze powstaje prawny obowiązek zawarcia umowy powierzenia przetwarzania danych osobowych. Umowa ta, uregulowana w przepisie art. 31 ustawy o ochronie danych osobowych (dalej: ustawa), ma charakter towarzyszący (akcesoryjny) do umowy będącej jej podstawą (umowy podstawowej).

W praktyce obrotu gospodarczego bardzo często występują umowy, z których wynika obowiązek zawarcia umowy powierzenia. W szczególności dotyczą one świadczenia usług o charakterze marketingowym czy pośrednictwa w sprzedaży usług i towarów, skierowanego do odbiorców indywidualnych (ustawę stosuje się jedynie do danych dotyczących osób fizycznych, co do zasady niezwiązanych z prowadzoną działalnością gospodarczą), ponieważ w celu ich wykonywania zleceniobiorca lub pośrednik musi z reguły uzyskać dostęp do danych osobowych odbiorców, których administratorem jest zleceniodawca, oraz dokonywać na tych danych oznaczonych operacji.

Znajomość i prawidłowe zastosowanie umowy powierzenia jest bardzo ważne, bo ewentualne uchybienia, zwłaszcza niezawarcie takiej umowy, mogą skutkować odpowiedzialnością obu stron wobec generalnego inspektora ochrony danych osobowych (GIODO), a w niektórych sytuacjach nawet odpowiedzialnością karną.

Daleko posunięty rygoryzm

Zgodnie z przepisem art. 31 ustawy umowa powierzenia powinna być zawarta na piśmie, może ona być częścią umowy podstawowej.

W umowie powierzenia administrator określa, w jakim zakresie i celu powierza przetwarzanie danych osobowych swojemu kontrahentowi. Wskazuje więc, jakie dane, jakich osób i jakie operacje na tych danych mają być dokonywane (decyzja GIODO z 29 kwietnia 2005 r., GI-DEC-DS-93/05, http://www.giodo.gov.pl/plik/id_p/704/j/pl/).

Celem przetwarzania będzie z reguły wykonanie umowy podstawowej, np. poprzez przeprowadzenie określonej akcji marketingowej.

Podmiot, któremu administrator powierzył to zajęcie, jest zobowiązany do przetwarzania danych wyłącznie w zakresie i celu wskazanym w umowie oraz do zabezpieczenia danych zgodnie z przepisami ustawy. Spełnianie tych obowiązków podlega kontroli GIODO, a w razie uchybień ponosi on odpowiedzialność wspólnie z administratorem danych.

Tak daleko posunięty rygoryzm odpowiedzialności administratora danych za działania jego kontrahenta powoduje, że z punktu widzenia administratora niezbędne staje się dodatkowe zastrzeżenie w umowie powierzenia możliwie najszerszego uprawnienia do wydawania kontrahentowi bieżących instrukcji co do sposobu przetwarzania danych oraz do kontroli spełniania wszelkich obowiązków związanych z przetwarzaniem powierzonych danych.

Na marginesie: włoska ustawa wyposażyła administratora w prawo wydawania podmiotowi, któremu powierzył przetwarzanie danych, instrukcji i przeprowadzania stosownych kontroli.

Wracając na nasze podwórko. Administrator ma obowiązek ujawnić w rejestrze zbiorów danych osobowych (prowadzonym przez GIODO) informacje dotyczące podmiotu, któremu powierzył przetwarzanie, jeśli obejmuje ono dane zawarte w zbiorze podlegającym obowiązkowi rejestracji, stosownie do przepisów rozdziału 6 ustawy. Wskazany obowiązek wynika natomiast z rozporządzenia wykonawczego ministra spraw wewnętrznych i administracji z 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji generalnemu inspektorowi ochrony danych osobowych (DzU nr 229, poz. 1536).

Pewne wątpliwości

Zawarcie umowy powierzenia przetwarzania danych osobowych między podmiotami krajowymi co do zasady nie wywołuje w praktyce większych kłopotów. Pewne wątpliwości pojawiają się wtedy, gdy do jednej ze stron takiej umowy nie stosuje się polskiej ustawy, zgodnie z jej art. 3 – 3a, tzn. ma ona siedzibę lub miejsce zamieszkania poza granicami Polski i nie przetwarza danych osobowych przy wykorzystaniu środków technicznych znajdujących się na jej terytorium.