Odliczamy do RODO

Czy administrator danych może kontrolować podmiot, któremu powierzył przetwarzanie danych osobowych?

Metadane
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Małgorzata Kałużyńska-Jasak
Wprowadził‚ informację: Rafał Kreusch 2010-01-08 11:44:43
Ostatnio modyfikował: Rafał Kreusch 2013-11-28 12:56:59

Tak, ponieważ administrator danych ponosi odpowiedzialność za bezpieczeństwo powierzonych innemu podmiotowi danych, w związku z czym powinien mieć możliwość kontroli tego, czy podmiot, któremu dane powierzył, przetwarza je zgodnie z postanowieniami zawartej miedzy nimi umowy.

Uzasadnienie

Na podstawie art. 31 ust. 1 ustawy o ochronie danych osobowych, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Powierzenie przetwarzania danych osobowych, w imieniu i na rzecz administratora, odrębnemu podmiotowi może przebiegać tylko i wyłącznie z zachowaniem zasad przewidzianych w powołanym przepisie ustawy o ochronie danych osobowych. W zawieranej umowie powierzenia przetwarzania danych powinno się szczegółowo określić obowiązki podmiotu, któremu powierzono przetwarzanie danych. Treść tej umowy powinna zostać sporządzona indywidualnie, dla konkretnego przypadku przetwarzania danych, w sposób uwzględniający wszystkie elementy gwarantujące prawidłowe zabezpieczenie i przetwarzanie danych osobowych. Podkreślić przy tym należy, iż decyzję co do treści postanowień umowy powierzenia podejmują jej strony. Istotne jest tylko, aby mieściła się ona w ramach prawnych określonych w art. 31 ustawy o ochronie danych osobowych, tj. aby administrator danych odpowiedzialny za ich zgodne z prawem przetwarzanie nie uchybił przepisom o ochronie danych osobowych.

Zgodnie z treścią art. 31 ust. 2 ustawy, podmiot, któremu powierzono dane, może je przetwarzać wyłącznie w zakresie i celu przewidzianym w umowie. Podkreślić należy, iż podmiot taki obowiązany jest przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych oraz spełnić wymagania określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

W zakresie zabezpieczenia danych osobowych podmiot, któremu powierzono przetwarzanie danych ponosi odpowiedzialność jak administrator danych. Ponadto, odpowiada także wobec administratora danych, za przetwarzanie danych zgodnie z umową. Warto również wskazać na stanowisko Sądu Najwyższego zajęte w postanowieniu z dnia 11 grudnia 2000 r. o sygn. II KKN 438/2000, w którym Sąd ten stwierdził, iż „Na gruncie ustawy o ochronie danych osobowych administratorem danych osobowych jest jedynie ten podmiot, który decyduje o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 ustawy), natomiast administrującym – także taki podmiot, który zarządza, zawiaduje zbiorem danych (art. 51, 54) lub danymi (art. 52) w procesie ich przetwarzania, w tym i powierzonego mu w trybie wskazanym w art. 31 tej ustawy (...)”. Podmiot, któremu powierzono przetwarzanie danych osobowych nie staje się zatem ich administratorem.

W związku z powyższym wydaje się być uzasadnione, aby administrator danych powierzający w trybie art. 31 ustawy, dane osobowe innemu podmiotowi, zachował możliwość kontroli tego, czy podmiot, któremu dane powierzono, przetwarza je m.in. zgodnie z postanowieniami łączącej ww. strony umowy powierzenia przetwarzania danych.

Serwisy GIODO:

Ostatnie aktualności