Na prawo patrz 4: podpowierzenie przetwarzania danych osobowych

Na prawo patrz 4: podpowierzenie przetwarzania danych osobowych

Osoby zaznajomione z serwisami społecznościowymi, gdzie się udzielam, wiedzą dobrze, że od jakiegoś czasu jestem zarówno członkiem Warszawskiego Centrum Doradztwa Prawnego, jak i pracownikiem kancelarii prawniczej. Dopiero tam drzewa przestały mi zasłaniać las: przekonałem się, jak należy korzystać z przepisów i orzecznictwa. Poznałem także podstawy obsługi klienta poszukującego porady prawnej.

Zagadnienia, z którymi się zetknąłem, posłużą mi jako materiał do artykułów z serii Na prawo patrz, od lutego praktycznie martwej.

Dziś opowiem o przetwarzaniu danych osobowych.

Sytuacja: mamy firmę A, której działalność wymaga zbierania od klientów danych osobowych. Sama nie musi (i nie chce) się tym zajmować, w związku z czym nawiązuje kontakt z firmą B.

Art. 31.1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.

Cały artykuł 31. ustawy jest poświęcony rozmaitym zagadnieniom, związanym z przetwarzaniem danych osobowych przez podmiot (w moim przykładzie – firmę B). Brakuje tam jednak odpowiedzi na pewne pytanie: co w sytuacji, gdy firma B zechce powierzyć przetwarzanie danych osobowych jeszcze innemu podmiotowi (nazwijmy go… W ;))?

Wpisanie w Google hasła dane osobowe dalsze powierzenie dało pewne rezultaty – najcenniejszym okazał się artykuł na stronie internetowej GIODO, zatytułowany Czy podmiot, któremu w drodze umowy administrator danych powierzył przetwarzanie danych osobowych może powierzyć te dane kolejnym podmiotom?

Notka wyglądała dobrze, ale była mało konkretna. Klientowi trzeba przecież pokazać przepisy i paragrafy (żeby w razie czego nie mieli pretensji, że coś zmyśliliśmy). Co robię? Dzwonię do GIODO (na specjalną infolinię).

Powitał mnie nagrany komunikat, trwający jakieś 2 minuty i opowiadający usypiającym głosem, co GIODO może, a czego nie. Potem coś kliknęło i usłyszałem sygnał, który świadczył o tym, że mnie rozłączono. Druga próba była bardziej udana.

Pani z infolinii starała się być pomocna, ale tak naprawdę ograniczyła się do wskazania znanej mi już notki i fachowego określenia dalszego powierzenia danych osobowych (podpowierzenie danych osobowych). Podziękowałem i rozłączyłem się.

Ostatecznie odpowiedź została oparta o artykuł 31 ust. 3 ustawy o ochronie danych osobowych:

Art. 31. 2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.

Oczywiście trzeba wtedy:

  1. W umowie między A i B – zaznaczyć, że B może wykorzystać firmy w rodzaju W.
  2. Zawrzeć umowę między B i W.

Odpowiedni fragment umowy A i B może przedstawiać się następująco:

  1. Instytucja Zarządzająca [A] umocowuje Instytucję Pośredniczącą [B] do dalszego powierzania przetwarzania danych osobowych, w imieniu i na rzecz Instytucji Zarządzającej, beneficjentom [W].
  2. Powierzenie przetwarzania danych osobowych beneficjentom następuje na podstawie umowy lub decyzji o dofinansowanie projektu w ramach Programu Operacyjnego Kapitał Ludzki.
  3. Instytucja Zarządzająca umocowuje Instytucję Pośredniczącą do dalszego powierzenia przetwarzania danych osobowych, w imieniu i na rzecz Instytucji Zarządzającej, podmiotom realizującym badania ewaluacyjne, jak również zadania związane z monitoringiem i sprawozdawczością prowadzone w ramach Programu Operacyjnego Kapitał Ludzki.
  4. Powierzenie przetwarzania danych osobowych podmiotom, o których mowa w ust. X, odbywa się na podstawie odrębnych umów zawieranych na piśmie.
  5. Instytucja Zarządzająca umocowuje Instytucję Pośredniczącą do takiego formułowania umów o dofinansowanie projektów zawieranych przez Instytucję Pośredniczącą z beneficjentami, by beneficjenci byli uprawnieni do dalszego powierzenia przetwarzania danych osobowych w imieniu i na rzecz Instytucji Zarządzającej, wyłącznie podmiotom, o których mowa w ust. X.
  6. Powierzenie przetwarzania danych osobowych, o którym mowa w ust. Y, odbywa się na podstawie odrębnych umów zawieranych na piśmie.

Fragment pochodzi z porozumienia zawartego między Ministrem Rozwoju Regionalnego a Samorządem Województwa Warmińsko-Mazurskiego, znalezionego przeze mnie w Regionalnym BIP-ie Województwa Warmińsko-Mazurskiego.