W swojej praktyce niejednokrotnie spotykam się z wątpliwościami dotyczącymi zasad powierzania przetwarzania danych osobowych przez administratorów danych podmiotom trzecim. Najczęściej pojawiające się pytania w tym zakresie to te, czy podmiot (administrator danych) może bez przeszkód powierzyć przetwarzanie danych osobowych podmiotowi trzeciemu oraz czy takie powierzenie wymaga zgody osoby zainteresowanej, której dane są przetwarzane, względnie czy wymaga zawiadomienia takiej osoby o fakcie powierzenia przetwarzania.
Na tak postawione pytania odpowiedzi brzmią generalnie:
- tak, administrator może bez przeszkód powierzyć przetwarzanie danych osobowych podmiotowi trzeciemu;
- nie, dla powierzenia przetwarzania danych nie jest wymagana zgoda osoby zainteresowanej, której dane są przetwarzane,
- nie, przy powierzeniu przetwarzania danych nie jest wymagane poinformowanie osoby zainteresowanej o tym fakcie.
Dla pełnego oglądu sytuacji warto zacząć od wskazania, że w rozumieniu ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych istnieje istotne rozróżnienie pomiędzy pojęciem „powierzenie” a pojęciem „przekazanie”,.
Przekazanie danych osobowych – czynność udostępnienia przez administratora danych podmiotowi trzeciemu danych osobowych, w celu ich wykorzystania przez ten podmiot trzeci we własnym imieniu oraz we własnych celach. Typowym przykładem przekazania danych osobowych będzie zakup bazy danych osobowych określonej kategorii osób (np. baza potencjalnych klientów) od agencji, która zajmuje się sprzedażą baz danych.
Powierzenie przetwarzania danych – instytucja uregulowana w art. 31 ustawy o ochronie danych osobowych. Jest to czynność na podstawie, której administrator danych osobowych przekazuje wybranemu podmiotowi, na podstawie pisemnej umowy, określone dane osobowe, w celu ich przetwarzania w imieniu i na rzecz administratora danych osobowych w określonych przez niego celach. Podmiot, któremu powierzono przetwarzanie danych osobowych działa tu więc jako zleceniobiorca w zakresie określonych obowiązków obejmujących przetwarzanie danych osobowych. Typowym przykładem powierzenia przetwarzania danych osobowych jest prowadzenie działań marketingowych przez agencję reklamową na zlecenie klienta, w oparciu o bazę danych tego klienta.
Powierzenie przetwarzania danych osobowych podmiotowi trzeciemu nie wymaga uzyskania zgody osoby zainteresowanej. Prawo do przetwarzania danych osobowych pochodzi bezpośrednio od administratora danych osobowych – podmiotu uprawnionego do ich przetwarzania. W sytuacji, w której administrator danych osobowych utraci prawo do przetwarzania danych osobowych (np. sprzeciw wobec przetwarzania jej danych przez osobę zainteresowaną), automatycznie traci je również podmiot, któremu powierzono przetwarzanie danych. Powierzenie przetwarzania danych osobowych nie wymaga również informowania osób zainteresowanych o takiej czynności, zgodnie z art. 24 ust. 1 pkt 2 lub art. 25 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Wynika to z faktu, że zgodnie z art. 7 pkt 6 ustawy podmiot, któremu powierzono przetwarzanie danych osobowych nie jest traktowany, jako odrębny „odbiorca” danych.
Podstawą dla powierzenia przetwarzania danych osobowych jest zawarcie stosownej umowy pomiędzy administratorem a zleceniobiorcą (art. 31 ust. 1 ustawy). Należy przy tym wskazać, że choć ustawa mówi o formie pisemnej umowy, to jednak nie przewiduje rygoru nieważności umowy zawartej w innej formie (np. ustnej lub mailowej). Podmiot, który przetwarza dane osobowe na podstawie umowy o powierzeniu przetwarzania danych, zgodnie z art. 31 ustawy o ochronie danych osobowych, nie staje się administratorem danych osobowych dla takich danych. Jest on niejako podmiotem zależnym wobec administratora danych w zakresie ich przetwarzania. Może przetwarzać powierzone mu dane tylko w zakresie i w celu określonym w umowie (art. 31 ust. 2 ustawy). Przy czym za przypadki naruszenia zasad bezpieczeństwa przetwarzania danych osobowych podmiot taki odpowiada na analogicznych zasadach, jak administrator danych. Co ważne, za taki podmiot odpowiedzialność subsydiarną ponosi również administrator danych, który powierzył przetwarzanie danych temu podmiotowi. Dlatego wskazane jest, aby administratorzy danych w umowach o powierzeniu przetwarzania danych uzyskiwali zapewnienie, że zleceniobiorca spełnia wymogi ustawy o ochronie danych osobowych oraz właściwych przepisów wykonawczych w zakresie bezpieczeństwa przetwarzania danych, jak również aby w takich umowach zawarte zostały stosowne zapisy o odpowiedzialności odszkodowawczej podmiotu przyjmującego dane (np. kary umowne) w przypadku naruszeń.