Powierzenie danych przez procesora – kim będzie nowy podmiot przetwarzający dane

Marcin Sarna

Autor: Marcin Sarna

Dodano: 8 września 2017
Dokument archiwalny
Powierzenie danych przez procesora – kim będzie nowy podmiot przetwarzający dane
Pytanie:  Jesteśmy firmą, która zajmuje się programowaniem, tworzeniem stron internetowych i portali. Mamy podpisane umowy powierzenia przetwarzania danych z podmiotami, które zlecają nam przygotowanie stron. Serwery, na których działają te strony, wynajmujemy od zewnętrznej firmy, która zajmuje się także ich obsługą. Chcemy podpisać z nią umowę powierzenia. Jaki będziemy mieć w niej status? Będziemy administratorem danych czy nadal procesorem? Jaki status będzie miała więc firma hostingowa?
Odpowiedź: 

Firma programistyczna w umowie z hostingodawcą będzie procesorem, a firma wynajmująca serwer będzie dalszym procesorem albo podprocesorem.

Bez wątpienia hostingodawca będzie przetwarzał dane osobowe, bo dane te będą zapisywane na jego serwerach. Oznacza to, że hostingodawca powinien mieć do takiego przetwarzania ważną podstawę prawną. Taką podstawę prawną może stanowić:

  • dalsze powierzenie przetwarzania danych osobowych osób, w stosunku do których firma programistyczna jest procesorem, bo sama przetwarza je na podstawie umowy powierzenia przetwarzania danych osobowych,
  • powierzenie danych osobowych hostingodawcy bezpośrednio przez osoby, których dane dotyczą – mało praktyczne i rzadko spotykane rozwiązanie.

W umowie firma programistyczna występuje nie jako administrator danych, a jako podmiot, któremu dane zostały powierzone do przetwarzania, zaś hostingodawca będzie podprocesorem. Tak też można wprost nazwać skrótowo strony umowy: „procesor” i „podprocesor”.

Czy powierzenie i podpowierzenie to to samo

Do dalszego powierzenia przetwarzania danych osobowych (podpowierzenia) stosuje się wprost wszystkie zasady dotyczące „normalnej” umowy powierzenia zawartej przez administratora danych z pierwszym procesorem. Podmiot, któremu przetwarzanie danych zostało powierzone, nie może korzystać z nich we własnym celu, np. do promowania własnych produktów lub usług. Zakaz ten obejmuje więc zarówno firmę programistyczną jako procesora, jak i hostingodawcę jako podprocesora.

Uwaga

Prawo procesora do przetwarzania danych osobowych pochodzi od administratora danych, a nie od osoby, której dane dotyczą. Jeżeli więc administrator danych straci prawo przetwarzania danych (np. osoba cofnie swoją zgodą na przetwarzanie jej danych), ustaje także prawo procesora. Analogicznie prawo podprocesora zależy od istnienia prawa procesora.

Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922).
Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel