Page contents Page contents Odpowiedź Inna osoba (fizyczna lub prawna bądź jakikolwiek inny podmiot) może przetwarzać dane osobowe w Twoim imieniu, ale tylko na postawie umowy lub innego aktu prawnego. Ważne, aby wyznaczony przez Ciebie podmiot przetwarzający zapewniał wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi ogólnego rozporządzenia o ochronie danych (RODO) i chroniło prawa osób, których dane dotyczą. Wyznaczony podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego bez Twojej uprzedniej szczegółowej lub ogólnej pisemnej zgody. W umowie lub akcie prawnym regulującym stosunki między Twoją firmą/organizacją a podmiotem przetwarzającym powinny znaleźć się poniższe elementy: przetwarzanie może się odbywać wyłącznie na udokumentowane polecenie administratora, podmiot przetwarzający zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy, podmiot przetwarzający musi zapewnić minimalny poziom bezpieczeństwa określony przez administratora, podmiot przetwarzający pomaga administratorowi wywiązać się z obowiązków określonych w RODO. Przykłady Firma budowlana korzysta z usług podwykonawcy przy konkretnych pracach budowlanych, w związku z czym przekazuje mu dane kontaktowe klientów, dla których wykonuje zlecenie. Podwykonawca wykorzystuje następnie te dane, aby wysyłać klientom materiały marketingowe. W tym przypadku, zgodnie z RODO, podwykonawca nie może być uznany jedynie za „przetwarzającego”, gdyż podwykonawca nie tylko przetwarza dane osobowe w imieniu firmy budowlanej, ale dokonuje też dalszego przetwarzania do swoich własnych celów. Podwykonawca działa więc jako „administrator danych”. Prowadzisz firmę zajmującą się sprzedażą detaliczną i decydujesz się na przechowywanie wersji zapasowej bazy klientów w chmurze. W tym celu zawierasz umowę z dostawcą usług w chmurze, który jest znany z wysokich standardów ochrony danych, a ponadto posiada certyfikowany system szyfrowania. Dostawca usług w chmurze jest Twoim podmiotem przetwarzającym dane, gdyż przechowując dane osobowe klientów na swoich serwerach, będzie jednocześnie przetwarzał dane osobowe w Twoim imieniu. Odnośniki art. 28 oraz motyw 81 RODO Examples A construction company is using a sub-contractor for specific construction work, and provides it with the contact details of the clients where the construction work needs to be done. The sub-contractor further uses the data to send the clients marketing material. The sub-contractor in that case doesn’t qualify merely as a ‘processor’ under the GDPR as the sub-contractor is not only processing personal data on behalf of the construction company, but also further processing it for its own purposes. The sub-contractor is therefore acting as a ‘data controller’. You’re a retail company that decides to store a back-up version of your client database on a cloud server. To that end you enter into a contract with a cloud provider known for its data protection standards and which also has a certified system of encryption of data. The cloud provider is your processor as by storing the personal data of your clients in its servers it will be processing personal data on your behalf. References Article 28 and Recital (81) of the GDPR
