UWAGA!

Od 25 maja 2018 r. organem właściwym w zakresie ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych. Nowa strona internetowa urzędu jest dostępna pod adresem: www.uodo.gov.pl.

Materiały zamieszczone na stronie Generalnego Inspektora Ochrony Danych Osobowych (GIODO) dostępnej pod adresem www.giodo.gov.pl mają charakter archiwalny.

POZOSTAŃ NA STRONIE ARCHIWALNEJ (GIODO)

Czy administrator danych może kontrolować podmiot, któremu powierzył przetwarzanie danych osobowych?

Metadane
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Małgorzata Kałużyńska-Jasak 2010-01-04
Wprowadził‚ informację: Rafał Kreusch 2010-01-08 11:44:43
Ostatnio modyfikował: Rafał Kreusch 2013-11-28 12:56:59

Tak, ponieważ administrator danych ponosi odpowiedzialność za bezpieczeństwo powierzonych innemu podmiotowi danych, w związku z czym powinien mieć możliwość kontroli tego, czy podmiot, któremu dane powierzył, przetwarza je zgodnie z postanowieniami zawartej miedzy nimi umowy.

Uzasadnienie

Na podstawie art. 31 ust. 1 ustawy o ochronie danych osobowych, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Powierzenie przetwarzania danych osobowych, w imieniu i na rzecz administratora, odrębnemu podmiotowi może przebiegać tylko i wyłącznie z zachowaniem zasad przewidzianych w powołanym przepisie ustawy o ochronie danych osobowych. W zawieranej umowie powierzenia przetwarzania danych powinno się szczegółowo określić obowiązki podmiotu, któremu powierzono przetwarzanie danych. Treść tej umowy powinna zostać sporządzona indywidualnie, dla konkretnego przypadku przetwarzania danych, w sposób uwzględniający wszystkie elementy gwarantujące prawidłowe zabezpieczenie i przetwarzanie danych osobowych. Podkreślić przy tym należy, iż decyzję co do treści postanowień umowy powierzenia podejmują jej strony. Istotne jest tylko, aby mieściła się ona w ramach prawnych określonych w art. 31 ustawy o ochronie danych osobowych, tj. aby administrator danych odpowiedzialny za ich zgodne z prawem przetwarzanie nie uchybił przepisom o ochronie danych osobowych.

Zgodnie z treścią art. 31 ust. 2 ustawy, podmiot, któremu powierzono dane, może je przetwarzać wyłącznie w zakresie i celu przewidzianym w umowie. Podkreślić należy, iż podmiot taki obowiązany jest przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych oraz spełnić wymagania określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

W zakresie zabezpieczenia danych osobowych podmiot, któremu powierzono przetwarzanie danych ponosi odpowiedzialność jak administrator danych. Ponadto, odpowiada także wobec administratora danych, za przetwarzanie danych zgodnie z umową. Warto również wskazać na stanowisko Sądu Najwyższego zajęte w postanowieniu z dnia 11 grudnia 2000 r. o sygn. II KKN 438/2000, w którym Sąd ten stwierdził, iż „Na gruncie ustawy o ochronie danych osobowych administratorem danych osobowych jest jedynie ten podmiot, który decyduje o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 ustawy), natomiast administrującym – także taki podmiot, który zarządza, zawiaduje zbiorem danych (art. 51, 54) lub danymi (art. 52) w procesie ich przetwarzania, w tym i powierzonego mu w trybie wskazanym w art. 31 tej ustawy (...)”. Podmiot, któremu powierzono przetwarzanie danych osobowych nie staje się zatem ich administratorem.

W związku z powyższym wydaje się być uzasadnione, aby administrator danych powierzający w trybie art. 31 ustawy, dane osobowe innemu podmiotowi, zachował możliwość kontroli tego, czy podmiot, któremu dane powierzono, przetwarza je m.in. zgodnie z postanowieniami łączącej ww. strony umowy powierzenia przetwarzania danych.

Ostatnie aktualności