Do czego zobowiązuje RODO oraz inne przepisy o ochronie danych osobowych w przypadku współpracy z zleceniodawcą opierającej się na relacji B2B w zakresie prowadzenia w jego imieniu działalności doradczej oraz infolinii dla klientów ?
minut
wyświetleń
Odpowiedź:
W celu udzielenia jednoznacznej odpowiedzi, zasadnym jest określenie ról podmiotów zaangażowanych we wskazany proces przetwarzania danych osobowych. Należy odpowiedzieć na pytanie kto jest organizatorem infolinii wsparcia technicznego oraz kto określa sposoby i cel przetwarzania danych?
Uzasadnienie odpowiedzi:
Na wstępie wymagane jest określenie pojęć administratora oraz podmiotu przetwarzającego (procesora). Pojęcia zostały zdefiniowane w art. 4 pkt 7 i 8 RODO:
- Administrator - każda osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych.
- Podmiot przetwarzający - osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora
W opisanej sytuacji, aby wskazać właściwą relację między statusami podmiotów należy zwrócić uwagę na zależność jednego podmiotu od drugiego. Uściślając powinno się poddać analizie, czy zleceniobiorca posiada samodzielność w decydowaniu o celach i sposobach przetwarzania danych czy też nie (w jakiej roli występuje w procesie).
Jeżeli firma X (zleceniodawca) jest organizatorem infolinii i zleca jej prowadzenie innemu podmiotowi, to w tym przypadku jest administratorem, a zleceniobiorca pełni rolę podmiotu przetwarzającego. Zleceniobiorca przetwarza dane z polecenia administratora, zgodnie z jego interesami, w ustalonych przez niego celach. Przetwarzanie w imieniu administratora powinno odbywać się na podstawie zawartej z administratorem umowy powierzenia danych osobowych.
Dane zbierane od warsztatów przez zleceniobiorcę w wyniku obsługi infolinii (do celów statystycznych) służą spełnieniu celu wyznaczonego przez firmę X, a nie zleceniobiorcę. Nie ma również znaczenia, kto udostępnia zasoby i sprzęt do prowadzenia infolinii. Jeśli zleceniobiorca obsługuje infolinię na swoim sprzęcie i zasobach, warto w umowie powierzenia zawrzeć postanowienia z art. 32-36 RODO zobowiązujące podmiot przetwarzający do ich spełnienia. W wyżej opisanej sytuacji zrealizowanie obowiązku informacyjnego oraz zebranie niezbędnych zgód na przetwarzanie danych osobowych spoczywa na administratorze (firmie X) i tym samym on określa sposób realizacji tych obowiązków