Jak wynika z informacji zamieszczonej na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych:
Ponieważ administrator danych ponosi odpowiedzialność za bezpieczeństwo powierzonych innemu podmiotowi danych, w związku z czym powinien mieć możliwość kontroli tego, czy podmiot, któremu dane powierzył, przetwarza je zgodnie z postanowieniami zawartej miedzy nimi umowy.
Istotne jest tylko, aby mieściła się ona w ramach prawnych określonych w art. 31 ustawy o ochronie danych osobowych, tj. aby administrator danych odpowiedzialny za ich zgodne z prawem przetwarzanie nie uchybił przepisom o ochronie danych osobowych.
Zgodnie z treścią art. 31 ust. 2 ustawy, podmiot, któremu powierzono dane, może je przetwarzać wyłącznie w zakresie i celu przewidzianym w umowie.
Podkreślić należy, iż podmiot taki obowiązany jest przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych oraz spełnić wymagania określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
W zakresie zabezpieczenia danych osobowych podmiot, któremu powierzono przetwarzanie danych ponosi odpowiedzialność jak administrator danych. Ponadto, odpowiada także wobec administratora danych, za przetwarzanie danych zgodnie z umową.
Warto również wskazać na stanowisko Sądu Najwyższego zajęte w postanowieniu z dnia 11 grudnia 2000 r. o sygn. II KKN 438/2000, w którym Sąd ten stwierdził, iż
„Na gruncie ustawy o ochronie danych osobowych administratorem danych osobowych jest jedynie ten podmiot, który decyduje o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 ustawy), natomiast administrującym – także taki podmiot, który zarządza, zawiaduje zbiorem danych (art. 51, 54) lub danymi (art. 52) w procesie ich przetwarzania, w tym i powierzonego mu w trybie wskazanym w art. 31 tej ustawy (…)”.
Podmiot, któremu powierzono przetwarzanie danych osobowych nie staje się zatem ich administratorem.
W związku z powyższym wydaje się być uzasadnione, aby administrator danych powierzający w trybie art. 31 ustawy, dane osobowe innemu podmiotowi, zachował możliwość kontroli tego, czy podmiot, któremu dane powierzono, przetwarza je m.in. zgodnie z postanowieniami łączącej ww. strony umowy powierzenia przetwarzania danych.