Retuszerzy, systemy, wydruki. Jak korzystać z podwykonawców zgodnie z RODO

Zgodnie z RODO administrator danych – czyli osoba, która przetwarza dane i decyduje o celach i sposobach ich przetwarzania – może korzystać przy przetwarzaniu danych z podwykonawców, czyli  podmiotów zewnętrznych. Podmioty takie nazywamy podmiotami przetwarzającymi.
Nasuwa się więc pytanie, jak odróżnić administratora od podmiotu przetwarzającego? Ten drugi (nasz podwykonawca) działa na danych osobowych (korzysta z nich) jedynie w zakresie ustalonym przez administratora i na jego zlecenie.

To teraz bardziej praktycznie. Jak realnie wyglądać to będzie u fotografów?
Administratorem jest fotograf – to on zbiera dane, przetwarza je i jest za nie odpowiedzialny.
Podmiotami przetwarzającymi dane będą przede wszystkim: retuszerzy na zlecenie, systemy do zarządzania, laboratoria wykonujące na zlecenie fotografa albumy, odbitki, fotoobrazy itp. Samo laboratorium nie jest zwykle stroną umowy z klientem –  przetwarza jedynie dane przekazane mu przez fotografa. W dodatku wykonuje te wszystkie czynności na zlecenie fotografa – na podstawie zawartej z nim umowy.

Jak zatem zabezpieczyć interesy fotografa w takim wypadku?
Przede wszystkim pamiętać, że zgodnie z RODO administrator ma prawo korzystać z podwykonawców. Ma też prawo przekazać przetwarzane przez siebie dane. Musi jednak postarać się, aby były to podmioty, które zapewniają odpowiednią ochroną przekazanych im danych. Dodatkowo powinien zawrzeć z nimi umowę o powierzenie przetwarzania danych, która dokładnie określi zasady tego przetwarzania.

Wielu z Was pytało jak takie umowy powinny wyglądać.
Umowa taka powinna być zawarta w formie pisemnej lub dokumentowej (czyli tak, by móc dokładnie wskazać treść umowy i potwierdzenie jej zawarcia!). Może pojawić się pytanie czy kiedy fotograf przekaże dane podwykonawcy – ten może przekazać je dalej swojemu podwykonawcy (tworząc swego rodzaju łańcuszek powierzenia danych). Jest to dopuszczalne – z tym wyjątkiem, że administrator musi się na to zgodzić w formie pisemnej. Nie wystarczy zatem na przykład odesłanie skanu podpisanego oświadczenia – umowa musi być zawarta w formie pisemnej i opatrzona własnoręcznymi podpisami.

Podsumowując, jeśli administrator chce powierzyć dane osobowe klientów podwykonawcom musi zawrzeć z nimi odpowiednią umowę. Nie musi być to jednak zupełnie osobna umowa – można w umowie ogólnej dotyczącej wykonania usługi zawrzeć odpowiednie klauzule dotyczące przetwarzania danych, ale musi to być w formie pozwalającej na udokumentowanie takiej umowy.

You Might Also Like