RODO w call center

Prowadzenie działań telemarketingowych w modelu outsourcingu wiąże się zazwyczaj z powierzeniem danych osobowych do przetwarzania. Podmiotem powierzającym dane osobowe do przetwarzania jest ich administrator, natomiast podmiotem przetwarzającym jest call center.

W przeciwieństwie do wielu niejednoznacznych zapisów RODO, tutaj sytuacja jasna i klarowna. Zgodnie z RODO:

• Administrator – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
• Podmiot przetwarzający (procesor)  – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
• Powierzenie danych do przetwarzania – sytuacja gdy procesor dokonuje operacji na danych osobowych na zlecenie administratora.

Co ważne – w sytuacji powierzenia danych osobowych do przetwarzania, podmiot przetwarzający dane, mimo że nie staje się ich administratorem, ciąży na nim dokładnie taka sama odpowiedzialność jak na administratorze. W przypadku uchybień dotyczących operacji na danych osobowych, pociągnięci do odpowiedzialność mogą być zarówno administrator, jak i podmiot przetwarzający. Administrator odpowiada za przestrzeganie przepisów RODO, natomiast podmiot przetwarzający  odpowiada za działania niezgodne z umową powierzenia oraz za zapewnienia odpowiedniego systemu zabezpieczeń.

Zgodnie z zasadami RODO, umowa powierzenia danych powinna być zawarta w formie papierowej, a dane przetwarzane wyłącznie w zakresie i celu wskazanym przez administratora.
Co musi zawierać umowa powierzenia danych osobowych do przetwarzania:

• określenie administratora danych
• określenie podmiotu mającego przetwarzać dane na zlecenie administratora
• przedmiot i czas trwania przetwarzania
• charakter i cel przetwarzania
• rodzaj powierzanych danych osobowych oraz kategorie osób, których dane dotyczą
• obowiązki i prawa administratora
• prawa i obowiązki procesora

Jak wspomniano powyżej, mimo przekazania danych osobowych do przetwarzania, administrator danych nadal pozostaje ich administratorem i ma obowiązek czuwać nad bezpieczeństwem. Naturalnym jest więc, że zastrzega sobie w umowie prawo do kontroli procesów przetwarzania swoich danych przez procesora.

Niniejszy artykuł nie stanowią porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Informacje zawarte w artykułach stanowią wyraz poglądów autorów na tematy związane z treścią przepisów prawa. Autorzy wpisów nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.