Blog o ochronie danych osobowych

Instytucja powierzania przetwarzania danych.Przykłady z życia.

Jeżeli kiedykolwiek będziecie wybierać się na pogadanki dotyczące danych osobowych, koniecznie przyswójcie sobie wcześniej kwestię powierzenia przetwarzania danych. Temat palący niczym Rzym za Nerona, nie do uniknięcia właściwie na każdej większej imprezie miłośników danych osobowych. Zgłębiając zagadnienie ochrony danych natkniecie się na niego raczej wcześniej, niż później i ciągnął się już będzie za wami jak "peerelowska" krówka.


Definicja powierzenia przetwarzania danych jest nieskomplikowana, a jej istotę przybliżę za pomocą słów Henry'ego Forda:
"Jeśli jest coś, czego nie potrafimy zrobić wydajniej, taniej i lepiej niż konkurenci, nie ma sensu, żebyśmy to robili i powinniśmy zatrudnić do wykonania tej pracy kogoś, kto zrobi to lepiej niż my"


I tak, zgodnie z art. 31 UODO, administrator, w drodze umowy zawartej na piśmie, może powierzyć przetwarzanie danych innemu podmiotowi - tzw.  "procesorowi". Co ciekawe, ponieważ procesor może przetwarzać powierzone mu dane wyłącznie w celu i zakresie przewidzianych w umowie, nie decyduje o celach i środkach przetwarzania danych, a tym samym nie staje się ich administratorem. Co więcej powierzenie przetwarzania danych nie zwalnia administratora z odpowiedzialności za przestrzeganie przepisów dotyczących ochrony danych osobowych. Dalej pozostaje więc on administratorem danych powierzonych innemu podmiotowi. Tu właśnie kryje się zasadnicza różnica pomiędzy powierzeniem danych, a ich udostępnieniem ale o tym bliżej opowiem innym razem.


Powierzanie przetwarzania danych jest praktyką niezwykle powszechną. Najczęściej dotyczy to outsourcingu usług. Firmy i organizacje często korzystają np. z zewnętrznej księgowości i w tym celu powierzają biurom rachunkowym dane osobowe swoich klientów, kontrahentów. Podobnie w przypadku outsourcingu usług kadrowo-płacowych, z tą różnicą, że dane powierzone dotyczyć będą pracowników administratora. Niejednokrotnie też firmy korzystają z usług agencji marketingowych, które przygotowują kampanie, np. wysyłkę newsletter'a do klientów administratora. Te wszystkie podmioty zewnętrzne stają się procesorami z momentem powierzenia im danych osobowych - przetwarzają dane administratora, w celach i zakresie ustalonych przed administratora.

Autor:  Piotr Betiuk - Prawnik, Koordynator Bezpieczeństwa Informacji PIN Consulting.


Jakie są konsekwencje nieprzestrzegania przepisów o ochronie danych osobowych

Kiedy mamy do czynienia z danymi osobowymi?