Administrator danych osobowych a umowa agencyjna
Pytanie:
"Operator serwisu internetowego (agent) ma zawarte umowy agencyjne z dostawcami usług noclegowych (zleceniodawcy) i występuje wobec klientów jako agent turystyczny (działa na zlecenie dostawców, a nie klientów). Klienci podczas rezerwacji podają dane osobowe takie jak: imię, nazwisko, miejsce zamieszkania, email, telefon. Kto jest administratorem danych osobowych klientów dokonujących rezerwacji za pośrednictwem serwisu w rozumieniu Ustawy o ochronie danych osobowych i przy założeniu, że dostęp do tych danych mają obydwie strony (tzn. zleceniodawca i agent)? Czy niezbędne jest w takiej sytuacji zawarcie umowy (umów) o przetwarzanie danych (zgodnie z art. 31 Ustawy) pomiędzy agentem i zleceniodawcami? Czy zbiór takich danych powinien być zgłoszony do GIODO, czy też można uznać, że są to dane przetwarzane w zakresie drobnych bieżących spraw życia codziennego?"
Odpowiedź prawnika: Administrator danych osobowych a umowa agencyjna
W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Niewątpliwie zbieranie danych opisanych w pytaniu pozwala na identyfikację osoby i stanowi jej dane osobowe. Ustawa o ochronie danych osobowych definiuje przetwarzanie danych osobowych, przez które rozumie jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Dane zatem bez wątpienia przetwarza zarówno agent (firma internetowa) jak i zleceniodawca, gdyż dane te są mu potrzebne do realizacji umowy.
Przetwarzanie danych jest dopuszczalne z uwagi na to, że jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Zatem udostępnianie danych służy zawarciu umowy i z tego powodu ich przetwarzanie przez oba podmioty jest dopuszczalne. Z całą pewnością można powiedzieć, że dane te nie są przetwarzane w drobnych bieżących sprawach życia codziennego.
W zakresie natomiast zawarcia umowy o powierzenie przetwarzania danych, to zawarcie takiej umowy jest dopuszczalne. Przy czym i tak agent w swoim zakresie jest administratorem danych. W zakresie natomiast powierzenia przetwarzania danych agent uzyskuje w zakresie określonym w umowie do nich dostęp. Należy przy tym podkreślić, że często wyznaczenie ścisłej granicy pomiędzy statusem zleceniobiorcy a statusem administratora danych będzie niemożliwe. Może bowiem zaistnieć sytuacja, że osoba przetwarzająca dane na zlecenie będzie jednocześnie odpowiadać definicji administratora danych. Zatem może się stać tak, że agent będzie administratorem danych w swoim zakresie, zleceniodawca zaś w swoim zakresie. Zleceniodawca może powierzyć przetwarzanie danych będących w jego zakresie podmiotowi jakim jest agent. Powierzenie przetwarzania danych osobowych na podstawie umowy o ich przetwarzanie nie wymaga uzyskania zgody osoby, której dane dotyczą. Strony umowy mogą bezpośrednio w umowie agencyjnej określić zakres i cel przetwarzania danych osobowych przez agenta, któremu przysługiwać będzie status przetwarzającego, a nie administratora danych.
Skomentuj artykuł - Twoje zdanie jest ważne
Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?