RODO w call center – Powierzenie danych osobowych do przetwarzania

Prowadzenie działań telemarketingowych w modelu outsourcingu wiąże się zazwyczaj z powierzeniem danych osobowych do przetwarzania. Podmiotem powierzającym dane osobowe do przetwarzania jest ich administrator, natomiast podmiotem przetwarzającym jest call center.

W przeciwieństwie do wielu niejednoznacznych zapisów RODO, tutaj sytuacja jasna i klarowna. Zgodnie z RODO:

  • Administrator - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
  • Podmiot przetwarzający (procesor)  - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
  • Powierzenie danych do przetwarzania - sytuacja gdy procesor dokonuje operacji na danych osobowych na zlecenie administratora.

Co ważne - w sytuacji powierzenia danych osobowych do przetwarzania, podmiot przetwarzający dane, mimo że nie staje się ich administratorem, ciąży na nim dokładnie taka sama odpowiedzialność jak na administratorze. W przypadku uchybień dotyczących operacji na danych osobowych, pociągnięci do odpowiedzialność mogą być zarówno administrator, jak i podmiot przetwarzający. Administrator odpowiada za przestrzeganie przepisów RODO, natomiast podmiot przetwarzający  odpowiada za działania niezgodne z umową powierzenia oraz za zapewnienia odpowiedniego systemu zabezpieczeń.

Zgodnie z zasadami RODO, umowa powierzenia danych powinna być zawarta w formie papierowej, a dane przetwarzane wyłącznie w zakresie i celu wskazanym przez administratora.
Co musi zawierać umowa powierzenia danych osobowych do przetwarzania:

  • określenie administratora danych
  • określenie podmiotu mającego przetwarzać dane na zlecenie administratora
  • przedmiot i czas trwania przetwarzania
  • charakter i cel przetwarzania
  • rodzaj powierzanych danych osobowych oraz kategorie osób, których dane dotyczą
  • obowiązki i prawa administratora
  • prawa i obowiązki procesora

Jak wspomniano powyżej, mimo przekazania danych osobowych do przetwarzania, administrator danych nadal pozostaje ich administratorem i ma obowiązek czuwać nad bezpieczeństwem. Naturalnym jest więc, że zastrzega sobie w umowie prawo do kontroli procesów przetwarzania swoich danych przez procesora.

Niniejszy artykuł nie stanowią porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Informacje zawarte w artykułach stanowią wyraz poglądów autorów na tematy związane z treścią przepisów prawa. Autorzy wpisów nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.