Blog

Jak wynika z informacji zamieszczonej na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych:

Ponieważ administrator danych ponosi odpowiedzialność za bezpieczeństwo powierzonych innemu podmiotowi danych, w związku z czym powinien mieć możliwość kontroli tego, czy podmiot, któremu dane powierzył, przetwarza je zgodnie z postanowieniami zawartej miedzy nimi umowy.

Pogląd ten GIODO uzasadnił w sposób następujący:

„Na podstawie art. 31 ust. 1 ustawy o ochronie danych osobowych, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.

Powierzenie przetwarzania danych osobowych, w imieniu i na rzecz administratora, odrębnemu podmiotowi może przebiegać tylko i wyłącznie z zachowaniem zasad przewidzianych w powołanym przepisie ustawy o ochronie danych osobowych.

Treść tej umowy powinna zostać sporządzona indywidualnie, dla konkretnego przypadku przetwarzania danych, w sposób uwzględniający wszystkie elementy gwarantujące prawidłowe zabezpieczenie i przetwarzanie danych osobowych.

Podkreślić przy tym należy, iż decyzję co do treści postanowień umowy powierzenia podejmują jej strony.

Istotne jest tylko, aby mieściła się ona w ramach prawnych określonych w art. 31 ustawy o ochronie danych osobowych, tj. aby administrator danych odpowiedzialny za ich zgodne z prawem przetwarzanie nie uchybił przepisom o ochronie danych osobowych.

Zgodnie z treścią art. 31 ust. 2 ustawy, podmiot, któremu powierzono dane, może je przetwarzać wyłącznie w zakresie i celu przewidzianym w umowie.

Podkreślić należy, iż podmiot taki obowiązany jest przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych oraz spełnić wymagania określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

W zakresie zabezpieczenia danych osobowych podmiot, któremu powierzono przetwarzanie danych ponosi odpowiedzialność jak administrator danych. Ponadto, odpowiada także wobec administratora danych, za przetwarzanie danych zgodnie z umową.

Warto również wskazać na stanowisko Sądu Najwyższego zajęte w postanowieniu z dnia 11 grudnia 2000 r. o sygn. II KKN 438/2000, w którym Sąd ten stwierdził, iż

„Na gruncie ustawy o ochronie danych osobowych administratorem danych osobowych jest jedynie ten podmiot, który decyduje o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 ustawy), natomiast administrującym – także taki podmiot, który zarządza, zawiaduje zbiorem danych (art. 51, 54) lub danymi (art. 52) w procesie ich przetwarzania, w tym i powierzonego mu w trybie wskazanym w art. 31 tej ustawy (…)”.

Podmiot, któremu powierzono przetwarzanie danych osobowych nie staje się zatem ich administratorem.

W związku z powyższym wydaje się być uzasadnione, aby administrator danych powierzający w trybie art. 31 ustawy, dane osobowe innemu podmiotowi, zachował możliwość kontroli tego, czy podmiot, któremu dane powierzono, przetwarza je m.in. zgodnie z postanowieniami łączącej ww. strony umowy powierzenia przetwarzania danych.