Podmiot przetwarzający dane na zlecenie

Podmiot przetwarzający (ang. procesor) jest podmiotem prawnie odrębnym od administratora danych, który na podstawie umowy, w imieniu administratora danych i na jego rzecz przetwarza dane osobowe. Zgodnie bowiem z art. 31 ust. 1 uodo administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Instytucja powierzenia przetwarzania danych powoduje rozszerzenie podmiotowego zakresu stosowania uodo na podmioty, które nie będąc administratorami danych, przetwarzają je na podstawie zawartej z nim umowy, a co za tym idzie – przyjmują na siebie określone obowiązki mające na celu zabezpieczenie tych danych. Są zatem zobowiązane do ich ochrony[1]

Administrator danych nie musi więc sam przetwarzać danych. Powierzenie tej czynności innemu podmiotowi innemu podmiotowi nie prowadzi zatem do utraty statusu administratora, a co więcej – jest w pełni dopuszczalne (z zastrzeżeniem przepisów szczególnych, wykluczających lub ograniczających tak możliwość). Wymaga jedynie umowy zawartej na piśmie, określającej cel i zakres przetwarzania danych[2]. Nie należy też zapominać, że przy wyborze zleceniobiorcy i konstruowaniu umowy należy dochować szczególnej staranności[3].  W literaturze wskazuje się, że najczęściej umowa taka będzie miała postać umowy o świadczenie usług, do której odpowiednie zastosowanie znajdą przepisy Kodeksu Cywilnego o zleceniu[4]. W zakresie wymogów formalnych, umowa taka powinna być zawarta w formie pisemnej jednak brak dochowania tego wymogu nie będzie wywierał skutku w postaci nieważności umowy[5]. W konsekwencji, umowa powierzenia przetwarzania danych osobowych niespełniająca tego wymogu (np. umowa ustna) od strony prawa cywilnego jest ważna, natomiast może powodować niekorzystne skutki na gruncie prawa administracyjnego. Niespełnienie tego wymogu powoduje naruszenie przepisów ustawy o ochronie danych osobowych i może powodować sankcje w postaci decyzji administracyjnej wydanej na podstawie art. 18 uodo[6]. Skutkiem przyjęcia zobowiązania do przetwarzania danych dla zleceniobiorcy jest konieczność zabezpieczenia danych zgodnie z przepisami rozdziału 5 ustawy (art. 31 ust. 3 zd. 1). Jednocześnie podlega on kontroli GIODO w zakresie przestrzegania umowy i zasad zabezpieczenia i może być adresatem jego decyzji[7]. Inne obowiązki administratora obciążają przetwarzającego tylko wtedy, gdy zostaną na niego nałożone w umowie.

Wymóg formy pisemnej dla umowy powierzenia powoduje wiele problemów faktycznych. Za względu na okoliczność, że coraz więcej umów jest zawieranych (a usług wykonywanych) w sytuacji braku fizycznego kontaktu obu stron umowy, a jednocześnie ze względu na okoliczność, że bardzo słabo rozpowszechnione jest posługiwanie się bezpiecznym podpisem elektronicznym weryfikowanym za pomocą ważnego kwalifikowanego certyfikatu[8]. Przedmiotem umowy powierzenia przetwarzania danych mogą być wszelkie operacje dokonywane na danych osobowych. W zakres tego pojęcia wchodzi więc nie tylko wykorzystywanie danych w celach określonych przez administratora danych, lecz nawet zarówno samo ich przechowywanie jak i ich usunięcie[9].

Ustawa określa skutki naruszenia zasad przetwarzania i zabezpieczenia danych osobowych w związku z powierzeniem ich przetwarzania. Wskazuje się bowiem, że:

a)      Odpowiedzialność za przestrzeganie przepisów uodo spoczywa na administratorze i przetwarzającym (art. 31 ust. 4)

b)      Odpowiedzialność wobec osób trzecich. Inaczej mówiąc powierzenie przetwarzania danych nie zwalania administratora z odpowiedzialności za zgodność przetwarzania z ustawą.

c)      W zakresie przestrzegania przepisów o zabezpieczeniu danych osobowych przetwarzający ponosi odpowiedzialność jak administrator (art. 31 ust. 3 zd. 2). Dotyczy to odpowiedzialności cywilnej i administracyjnej[10].

Powierzenie przetwarzania danych jest czynnością, na którą administrator danych nie musi uzyskiwać zgód osób, których dotyczą dane powierzone do przetwarzania. Samo powierzenie przetwarzania danych wynika natomiast z art. 31 ust. 1 uodo, dlatego ta czynność administratora danych nie wymaga odrębnej podstawy prawnej wyrażonej w art. 23 ust. 1 oraz art. 27 ust 2 uodo[11].




[1] M. Brzozowska, Prawo do ochrony danych osobowych, Wrocław 2015, s. 155

[2] S. Hoc, T. Szewc, Ochrona danych osobowych i informacji niejawnych, Warszawa 2014, s.

[3] A. Krasuski, D. Skolimowska, Dane osobowe w przedsiębiorstwie, Warszawa 2007, s. 147 i n.

[4] Tak J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Kraków 2004, s. 619

[5] Tak A. Szewc, Z problematyki ochrony danych osobowych, cz. III, R.Pr. 1999, Nr 5, s. 21

[6] P. Barta, P. Fajgielski, Ochron danych osobowych. Komentarz, Warszawa 2015, s. 325

[7] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Kraków 2004, s. 625

[8] P. Barta, P. Litwiński, Ochrona danych osobowych. Komentarz, Warszawa 2015, s. 325

[9] P. Barta, P. Litwiński, Ochrona danych osobowych. Komentarz, Warszawa 2015, s. 328

[10] S. Hoc, T. Szewc, Ochrona danych osobowych i informacji niejawnych, Warszawa 2014, s. 18

[11] M. Brzozowska, Prawo do ochrony danych osobowych, Wrocław 2015, s. 162 

 

Wszelkie prawa zastrzeżone © 2016
Informacja o ciasteczkach