Przekazujesz dane osobowe firmie kurierskiej? Sprawdź, czy musisz podpisać umowę powierzenia

Paweł Biały

Autor: Paweł Biały

Dodano: 27 lutego 2017
Dokument archiwalny
Przekazujesz dane osobowe firmie kurierskiej? Sprawdź, czy musisz podpisać umowę powierzenia

W każdej sytuacji, gdy chcesz przekazać dane osobowe do przetwarzania podmiotowi zewnętrznemu, musisz podpisać z nim umowę powierzenia przetwarzania danych osobowych. Jak wynika ze stanowiska GIODO, zasady te obowiązują także przy korzystaniu z usług firm kurierskich. Sprawdź, jakie warunki musisz spełnić, aby w takiej sytuacji działać zgodnie z przepisami o ochronie danych osobowych.

Prowadzenie działalność gospodarczej nie jest zadaniem łatwym, gdy spojrzy się na liczbę przepisów, które przedsiębiorca musi znać, wdrożyć, stosować, czy monitorować. Mechanizmy wolnego rynku wykształciły rozwiązania, które mają pozwolić przedsiębiorcy w skupianiu się na celach biznesowych, odciążając go jednocześnie od trudu radzenia sobie w znormatywizowanej rzeczywistości. Do tego rodzaju usług należy outsourcing usług.

Ważne:

Czym jest outsourcing

Outsourcing to zakres działalności przedsiębiorstwa, który zostaje w sposób zamierzony wyłączony spod bezpośredniego władztwa tego przedsiębiorstwa na rzecz podmiotu zewnętrznego. Podmiot ten we własnym imieniu, ale co do zasady wyłącznie na rzecz przedsiębiorstwa, realizuje ten wyodrębniony zakres funkcjonalności przedsiębiorstwa.

Świadczenie przez podmiot zewnętrzny na rzecz przedsiębiorcy określonych usług bardzo często może wiązać się z koniecznością przetwarzania danych osobowych przez podmiot zewnętrzny. O ile trudno mówić o przetwarzaniu danych osobowych w ramach usług PR (czego jednak zdecydowanie wykluczyć nie można), o tyle nie ma takich wątpliwości przy usługach kadrowych, płacowych, prawniczych.

Przedsiębiorcy podpisują zatem z podmiotem zewnętrznym umowę o współpracy, w ramach której często zobowiązują się do przekazywania podmiotowi zewnętrznemu wszelkich informacji niezbędnych dla prawidłowego realizowania postanowień zawartej umowy.

Za tak enigmatycznym sformułowaniem prawnym stoi konieczność przekazywania podmiotowi zewnętrznemu określonych zbiorów danych osobowych w całości lub części. Niestety, podpisanie samej umowy o współpracy nie jest wystarczające dla powierzania do przetwarzania danych osobowych np. pracowników czy klientów.

Chcesz przekazać dane do przetwarzania – podpisz umowę

Zgodnie z treścią art. 6 ustawy o ochronie danych osobowych (uodo) wszelkie informacje, które pozwalają zidentyfikować osobę fizyczną (pośrednio czy bezpośrednio) mają status danych osobowych. W konsekwencji za dane osobowe uznawane są takie komunikaty czy też wiadomości, które dostarczają zindywidualizowanej wiedzy o danym człowieku. Identyfikacja z kolei to zespół określonych informacji, tzw. czynników identyfikacyjnych, które szczególnie wiążą się z konkretną osobą, a poprzez które może dojść do jej rozpoznania tj. ustalenia tożsamości.

Powierzenie danych oparte jest na dwustronnym stosunku prawnym, na mocy którego następuje przekazanie danych osobowych. W wyniku powierzenia danych, administrator nie traci kontroli nad danymi, ponieważ nadal decyduje o środkach i celach ich przetwarzania. Z kolei procesor przetwarzając powierzone dane osobowe, nie staje się ich administratorem. Odpowiedzialność procesora jest przy tym analogiczna do odpowiedzialności administratora danych osobowych.

Ustawa nie określa elementów koniecznych umowy powierzenia przetwarzania danych, niemniej powinna być zawarta w formie pisemnej. Jeżeli taka forma nie zostanie zachowana, oznacza to, że przesłanka określona w art. 31 uodo nie została spełniona. Może to być podstawą do stwierdzenia niezgodnego z prawem powierzenia przetwarzania danych osobowych, a w konsekwencji co najmniej wydania przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO) decyzji nakazującej przywrócenie stanu zgodnego z prawem.

Czy przy usługach kurierskich dochodzi do powierzenia przetwarzania danych

Praktyczną trudnością dla administratorów danych osobowych jest konieczność przekazania danych osobowych klienta firmie kurierskiej, która ma dostarczyć mu zakupiony u przedsiębiorcy produkt. Pytanie, które jest jak najbardziej adekwatne, dotyczy konieczności (lub jej braku), zawarcia umowy powierzenia przetwarzania danych osobowych w trybie art. 31 uodo. Stanowiska znawców tematu są w tym względnie podzielone.

Usługi kurierskie są bowiem w określonym zakresie regulowane prawem pocztowym, prawem przewozowym i Kodeksem cywilnym, niemniej żadna z tych ustaw nie definiuje wprost usług kurierskich. Nie mam wątpliwości, że podmiot zewnętrzny, który świadczy na rzecz przedsiębiorcy usługę kurierską, de facto wykonuje część zlecenia klienta, które zostało przezeń złożone przedsiębiorcy. W konsekwencji istnieje możliwość zakwalifikowania tego stosunku prawnego łączącego przedsiębiorcę z firmą kurierską jako outsourcingu usług.

Jednocześnie też, trudno jest jednoznacznie stwierdzić, że firma kurierska posiada status administratora danych osobowych w stosunku do danych osobowych klienta, przekazanych jej przez przedsiębiorcę (co czyni tę relację prawną odmienną od tej, która łączyłaby przedsiębiorcę z Pocztą Polską S.A.). Aktywność firmy kurierskiej jest zatem częścią zlecenia otrzymanego przez przedsiębiorcę.

Co na ten temat sądzi GIODO

Przedsiębiorca i firma kurierska, powinni być związani stosunkiem powierzenia danych osobowych klienta w trybie art. 31 uodo – wynika ze stanowiska GIODO wyrażonego w decyzji z 21 września 2011 r. w sprawie o naruszenie przetwarzania danych osobowych w związku z przekazaniem przez firmę telekomunikacyjną firmie kurierskiej przesyłki adresowanej do abonenta (DOLiS/DEC-819/11 dot. DOLiS-440-661/10/GP/I).

Generalny Inspektor Ochrony Danych Osobowych uznał, że:

„Spółka miała prawo do powierzenia w drodze umowy, na podstawie art. 31 ustawy, dane osobowe do przetwarzania firmie kurierskiej w celu wykonywania usług miejskich i krajowych w zakresie przewożenia przesyłek. Z § 12 wskazanej umowy wynika w szczególności zobowiązanie firmy kurierskiej do zachowania należytej staranności przy przetwarzaniu danych osobowych abonentów Spółki i stosowania przepisów ustawy dotyczących odpowiedniego zabezpieczenia przetwarzanych danych”.

Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922 ze zm.).
Paweł Biały

Autor: Paweł Biały

doktor nauk prawnych, prawnik praktyk, ekspert z zakresu prawa ochrony danych osobowych, administrator bezpieczeństwa informacji, prowadzi warsztaty i szkolenia, wykładowca akademicki, Instytut Ochrony Danych Osobowych

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x