Jak wynika z treści art. 31 ustawy o ochronie danych osobowych, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot ten może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. Ponadto podmiot, któremu powierzono przetwarzanie danych osobowych jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych. Również pkt. 56 dyrektywy 95/46/WE określa, że transgraniczny przepływ danych osobowych jest koniecznym warunkiem rozwoju handlu międzynarodowego; ochrona osób jaką niniejsza dyrektywa gwarantuje we Wspólnocie nie stanowi przeszkody dla przekazywania danych osobowych do państw trzecich, które zapewniają odpowiedni topień ochrony; prawidłowość stopnia ochrony danych zapewnianej przez państwo trzecie należy oceniać w świetle wszystkich okoliczności dotyczących operacji przekazywania danych lub zestawu takich operacji.
Z powyższych przepisów jednoznacznie wynika, że administrator danych osobowych może powierzyć innej osobie przetwarzanie danych, jednakże konieczne jest zawarcie właściwej umowy, która przewidywać będzie odpowiednie zabezpieczenie przekazywanych danych osobowych, zakres i cel ich przetwarzania, który nie może być odmienny niż ten, w którym administrator dane przetwarzał. Umowa winna także określać zakres i rodzaj operacji jakie będą wykonywane na danych osobowych. Podmiot przyjmujący dane osobowe do administrowania może je prowadzić jedynie w zakresie przewidzianym w umowie i w celu określonym w umowie. Podstawowym warunkiem, który należy spełnić przekazując dane osobowe innej osobie do przetwarzania to konieczność prawidłowego ich zabezpieczenia. Należy zaznaczyć także, że osoba trzecia, która przyjmuje do przetwarzania dane osobowe nie staje się administratorem, wykonuje ona jedynie określone czynności faktyczne (zlecone) na rzecz administratora.
W przypadku powierzenia przetwarzania danych osobowych odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.
Wojewódzki Sąd Administracyjny w wyroku z dnia 19.07.2007 r. sygn.. akt II SA/Wa 687/07 stwierdził, że operator, przetwarzając w sposób legalny dane osoby, która korzystała z jego usług telekomunikacyjnych, mając przy tym status administratora jego danych, może w świetle art. 31 ustawy o ochronie danych osobowych powierzyć innemu podmiotowi przetwarzanie danych osobowych byłego klienta w celu dochodzenia swych roszczeń. Nabywając takie uprawnienie, podmiot trzeci przetwarza dane osobowe także na podstawie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w związku z art. 164 ustawy – Prawo telekomunikacyjne. Powierzenie przetwarzania danych dokonane przez administratora na podstawie umowy powierzenia, o której mowa w art. 31 ustawy, nie wymaga uzyskania zgody osoby, której dane dotyczą.
Jarosław Olejarz
radca prawny
Kancelaria Prawna VERO