Powierzenie danych osobowych innej firmie

Administrator danych osobowych może powierzyć przetwarzanie danych osobowych, których jest administratorem innemu podmiotowi.

Wiemy, że administratorem jest podmiot, który decyduje o celach i środkach przetwarzania danych osobowych. Jest to podmiot, który posiada podstawę prawną do przetwarzania danych osobowych we własnych celach na przykład zawiera z osobą umowę cywilnoprawną lub zbiera od osób odpowiednie zgody na przetwarzanie danych osobowych w celach marketingowych.

To administrator jest inicjatorem pozyskiwania danych osobowych, gdyż najczęściej związane jest to z prowadzoną przez niego działalnością gospodarczą i pozyskiwane dane osobowe są przetwarzane w związku z tą działalnością, w celach zarobkowych.

Administrator musi więc posiadać podstawę prawną do przetwarzania danych osobowych, spełnić obowiązek informacyjny wobec osób, których dane przetwarza, zabezpieczyć dane osobowe przed dostępem osób nieuprawnionych. W procesie przetwarzania danych osobowych  pojawiają się sytuacje, w których administrator danych osobowych chce lub jest zmuszony powierzyć dane osobowe innemu podmiotowi.

Co to powierzenie przetwarzania danych osobowych tak naprawdę oznacza?

Powierzenie  przetwarzania danych osobowych polega na udostępnieniu danych osobowych przez administratora innemu podmiotowi w związku z umową cywilnoprawną zawieraną pomiędzy administratorem a przetwarzającym. Najczęściej są to umowy w zakresie usług IT, księgowych, kadrowych, marketingowych i związane jest z wykonywaniem tych usług na rzecz administratora danych.

Na przykład mała firma X nie mając własnej księgowości zleca prowadzenie księgowości do biura rachunkowego. W związku z tym zleceniem, aby biuro mogło realizować swoje zadania zgodnie z umową administrator czyli firma X musi przekazywać dane osobowe swoich klientów w celu wystawiania klientom faktur i innych dokumentów, prowadzeniem dla administratora pełnej księgowości.

W opisywanej sytuacji nic się nie zmienia. Administrator pozostaje administratorem, odpowiedzialnym za przetwarzanie danych osobowych wobec swoich klientów. Odpowiedzialny jest również za powierzenie danych osobowych innemu podmiotowi czyli firmie księgowej w sposób, wymagany przez przepisy prawa.

Administrator musi więc zawrzeć z biurem rachunkowym umowę, w której zostanie określony zakres i cel przetwarzania danych osobowych. Przetwarzający czyli biuro rachunkowe jest uprawniony do przetwarzania danych tylko w celu i zakresie w tej umowie określonym. Należy pamiętać, że przepisy wymagają zawarcia umowy w formie pisemnej.

W przypadku, gdy administrator przekazał dane do przetwarzania bez wymaganej prawem umowy można mu postawić zarzut udostępnienia danych osobowych osobom nieupoważnionym, za co ustawa przewiduje odpowiedzialność administracyjną, karną czy cywilną przed osobami, których dane zostały przekazane.

Kwestie związane z uregulowaniem powierzenia przetwarzania danych osobowych mogą być zawarte w treści umowy zlecenia usług, zawieranej  pomiędzy administratorem a biurem rachunkowym jako dodatkowe klauzule umowne.

Wymuszanie zgody a ochrona danych osobowych

Nikt nie lubi być do niczego zmuszany. Wywieranie presji czasami przynosi skutek odwrotny i zamiast zgody na przetwarzanie danych osobowych mamy ucieczkę klienta niejako przypartego do muru.

Przedsiębiorcy konkurujący ze sobą na rynku dwoją się i troją, aby wyprzedzić konkurenta, zdobyć jak najwięcej kontaktów, klientów, nawiązać z nimi relację długofalową.

Firmy marketingowe również mają nie lada zadanie, aby zaproponować skuteczne strategie zdobycia lojalnego klienta tak w realu ale również  w internecie.

Dane osobowe. Towar cyfrowego świata. Posiadanie bazy danych osobowych osób, którzy wyrazili zgodę na przetwarzanie tj. wykorzystywanie ich danych osobowych dla celów marketingowych to prawdziwy skarb.

Ochrona danych osobowych. Pojęcie coraz bardziej znane w obrocie gospodarczym. Przedsiębiorcy zaczynają się zastanawiać, że być może problem dotyczy też ich właśnie. Zaczynają szukać, czytać i dochodzą do przekonania często, że w ich procesie zbierania i wykorzystwywania danych znajduje się wiele niedoskonałości. Czasami dzięki lekturze takich blogów jak mój.

Taką niedoskonałością jest wymuszanie zgody na przykład. Przejawia się to na przykład w uzależnieniu realizacji zamówienia określonego produktu lub usługi od wyrażenia zgody na przetwarzanie danych w celach promocyjnych.

Cechą prawidłowej zgody jest jej dobrowolność i swoboda jej wyrażenia.

W przypadku, gdy przedsiębiorca uzależnia świadczenie na rzecz klienta od wyrażenia zgody nie można mówić o swobodzie i dobrowolności. Ochrona danych osobowych wymaga, aby respektować prawo osoby do swobodnego  wyrażenia zgody na przetwarzanie danych w celach marketingowych.

Czasami znajdziemy jednak wyjątki. Będzie to miało miejsce wówczas, gdy osoba w zamian za wyrażoną na przetwarzanie danych osobowych zgodę otrzymuje jakieś ekwiwalentne świadczenie  na przykład usługę poczty elektronicznej, upominek czy szansę wygrania na loterii.

Potwierdza to jednak fakt, iż nie ma niczego za darmo a nasze dane osobowe stały się swoistym towarem, którym się obraca, wykorzystuje, z którego czerpie się zyski.

Nie mniej jednak wszyscy uczestnicy tego obrotu czerpiący zysk z przetwarzania danych osobowych muszą pamiętać, iż dane osobowe są dobrem prawem chronionym, że ustawa przyznaje prawo do ochrony każdego, czyje dane są przetwarzane.

Wobec fakt wzrostu świadomości dotyczącej potrzeby ochrony danych osobowych zwłaszcza w dobie intensywnego rozwoju gospodarki internetowej, nowych technologii powstaje w UE nowe prawo ochrony danych osobowych. Prawo to wyznaczy kierunek ochrony danych osobowych w Europie i na świecie na przyszłe dziesięciolecia.

Jest to najlepszy moment dla przedsiębiorców, aby uporządkować kwestie dotyczące przetwarzania danych osobowych w ich organizacji, aby spokojnie oczekiwać na wejście w życie nowych przepisów.

 

Zgoda na przetwarzanie danych osobowych – błędy

Administrator danych musi wykazać się podstawą do przetwarzania danych osobowych. Prawo wymienia przesłanki, w oparciu o które takie przetwarzanie jest uprawnione. Jedną z podstaw legalnego przetwarzania danych jest zgoda. Przepisy mówią, że zgoda nie może być dorozumiana ani domniemana z oświadczeń woli innej treści.

W praktyce wygląda to tak, że administrator musi sformułować treść klazuli zgody, którą będzie odbierał od osób przy okazji zbierania danych. Sprawa wydaje się prosta, jednak jak to zwykle w życiu bywa tylko z pozoru.

W obrocie bowiem występuje wiele błędów w zakresie prawidłowego formułowania treści klauzul zgody. Najczęstszym z nich jest łączenie zgody na przetwarzanie danych osobowych ze zgodą na przesyłanie informacji handlowej drogą elektroniczną czy zgodą na udostępnianie danych podmiotom trzecim.

Powszechnie stosowaną praktyką jest również umieszczenie zgody na przetwarzanie danych osobowych w treści umów cywilnoprawnych  czy regulaminów. Praktyki takiej również nie można uznać za prawidłową w świetle prawa.

Administrator danych osobowych  powinien zadbać o poprawność zbieranych zgód. Jest to pierwszy krok w procesie przetwarzania danych. Jest on o tyle istotny, że rzutuje na cały proces przetwarzania danych osobowych, który może zostać zakwestionowany przez błędy na tym pierwszym wstępnym etapie. To trochę jak z przysięgą małżeńską. Błąd w oświadczeniu woli przy zawieraniu małżenstwa może być przyczyną unieważnienia tegoż małżeństwa.

Niestety w życiu administratorzy danych rozpoczynający proces zbierania danych z różnych przyczyn popełniają na tym wstępnym, bardzo ważnym etapie szereg błędów. Najgorsze, gdy taki stan trwa latami, baza danych osobowych rośnie a korekta błędów po latach, gdy baza liczy tysiące danych osobowych może się okazać problematyczna o ile w ogóle możliwa.

 

Ochrona danych osobowych – wizerunek pracownika

W chwili obecnej każda szanująca się firma ma w internecie piekną stronę, na której prezentuje swoją ofertę a obok niej często zespół swoich pracowników.

Powszechną praktyką jest zamieszczanie na stronie internetowej fotografii pracowników z opisem wykonywanych przez nich zadań.  Bywa, że pracodawcy wykorzystują wizerunek pracownika bądź w reklamach własnych firmy, bądź też w celu motywowania pracowników przez wywieszanie zdjęć poszczególnych osób jako „najbardziej efektywnych pracowników” czy „najsympatyczniejszych z kadry menedżerskiej”. Należy rozważyć, czy takie działanie nie narusza prywatności, a przez to może być działaniem niedozwolonym.

Tymczasem wizerunek jest odrębnym dobrem prawnym chronionym zarówno przez przepisy prawa cywilnego, jak i prawa autorskiego. Dysponowanie swoim wizerunkiem i jego udostępnianie do wykorzystania należy uznać jako element prawa do poszanowania prywatności pracownika.

Wizerunek również należy uznać za chronione prawem dane osobowe.  Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Przetwarzanie danych osobowych w tym również wizerunku podpada więc pod ustawę o ochronie danych osobowych.

W doktrynie dopuszcza się możliwość wykorzystania przez pracodawcę wizerunku (fotografii) do sporządzania identyfikatora używanego w trakcie pracy.

W pozostałych przypadkach należy uznać, że pracodawca nie jest uprawniony do swobodnego dysponowania wizerunkiem pracownika w szczególności do wykorzystania go w celach reklamowych. Do powzięcia tego typu czynności potrzebna jest zgoda pracownika.

Nagranie rozmowy – ochrona danych osobowych w marketingu B2B

krofon

W ostatnich dniach miałam przyjemność rozmawiać z blogerem Igorem Bielobradek na temat ochrony danych osobowych w marketingu.

Igor Bielobradek specjalizuje się w marketingu biznesowym i zwrócił uwagę na kwestię ochrony danych osobowych w tym własnie zakresie. Jeśli interesuje Cię ochrona danych osobowych w marketingu posłuchaj naszej rozmowy. Poniżej zamieszczam link.

http://b2b-marketing.pl/2014/01/29/podcast-ochrona-danych-osobowych-w-marketingu-b2b-rozmowa-z-mariola-malicka/