Do czego zobowiązuje RODO oraz inne przepisy o ochronie danych osobowych w przypadku współpracy z zleceniodawcą opierającej się na relacji B2B w zakresie prowadzenia w jego imieniu działalności doradczej oraz infolinii dla klientów ?

0

minut

9

wyświetleń

14 paź 2022

Odpowiedź:

W celu udzielenia jednoznacznej odpowiedzi, zasadnym jest określenie ról podmiotów zaangażowanych we wskazany proces przetwarzania danych osobowych. Należy odpowiedzieć na pytanie kto jest organizatorem infolinii wsparcia technicznego oraz kto określa sposoby i cel przetwarzania danych?

 

Uzasadnienie odpowiedzi:

Na wstępie wymagane jest określenie pojęć administratora oraz podmiotu przetwarzającego (procesora). Pojęcia zostały zdefiniowane w art. 4 pkt 7 i 8 RODO:

  • Administrator - każda osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych.
  • Podmiot przetwarzający - osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora

W opisanej sytuacji, aby wskazać właściwą relację między statusami podmiotów należy zwrócić uwagę na zależność jednego podmiotu od drugiego. Uściślając powinno się poddać analizie, czy zleceniobiorca posiada samodzielność w decydowaniu o celach i sposobach przetwarzania danych czy też nie (w jakiej roli występuje w procesie).

Jeżeli firma X (zleceniodawca) jest organizatorem infolinii i zleca jej prowadzenie innemu podmiotowi, to w tym przypadku jest administratorem, a zleceniobiorca pełni rolę podmiotu przetwarzającego. Zleceniobiorca przetwarza dane z polecenia administratora, zgodnie z jego interesami, w ustalonych przez niego celach. Przetwarzanie w imieniu administratora powinno odbywać się na podstawie zawartej z administratorem umowy powierzenia danych osobowych.

Dane zbierane od warsztatów przez zleceniobiorcę w wyniku obsługi infolinii  (do celów statystycznych) służą spełnieniu celu wyznaczonego przez firmę X, a nie zleceniobiorcę. Nie ma również znaczenia, kto udostępnia zasoby i sprzęt do prowadzenia infolinii. Jeśli zleceniobiorca obsługuje infolinię na swoim sprzęcie i zasobach, warto w umowie powierzenia zawrzeć postanowienia z art. 32-36 RODO zobowiązujące podmiot przetwarzający do ich spełnienia. W wyżej opisanej sytuacji zrealizowanie obowiązku informacyjnego oraz zebranie niezbędnych zgód na przetwarzanie danych osobowych spoczywa na administratorze (firmie X) i tym samym on określa sposób realizacji tych obowiązków

Odpowiedzi udziela

author
Damian Grudziński - Forsafe

Jest absolwentem studiów II stopnia na kierunku Bezpieczeństwo Wewnętrzne oraz studiów podyplomowych pn. Ochrona i Bezpieczeństwo Cyberprzestrzeni, zrealizowanych na Akademii Sztuki Wojennej w Warszawie. W trakcie studiów z uznaniem odbył praktyki w Ministerstwie Spraw Wewnętrznych i Administracji, co potwierdzają otrzymane referencje. Doświadczenie oraz wiedzę w zakresie szeroko rozumianej ochronie danych osobowych zdobywał pracując w firmie świadczącej usługi w zakresie bezpieczeństwa informacji. Ponadto pełnił rolę Zastępcy Inspektora Ochrony Danych w jednostce sektora publicznego. W FORSAFE odpowiedzialny jest za analizę i przygotowanie dokumentacji z zakresu ochrony danych osobowych. Dodatkowo zajmuje się przeprowadzaniem audytów formalno-prawnych, a także bieżącym wsparciem kontrahentów biznesowych w zakresie przetwarzania i ochrony danych osobowych.

www.forsafe.pl
zadaj pytanie