Ochrona danych osobowych w sklepie internetowym cz.3 - powierzenie przetwarzania danych

Administrator danych osobowych musi dbać o ich bezpieczeństwo, w tym chronić prawnie powierzenie przetwarzania danych w sklepie internetowym. Na czym to polega i jak tego dokonać? Wyjaśniamy poniżej.

Czym jest powierzenie przetwarzania danych w sklepie internetowym?

Powierzenie przetwarzania danych osobowych to nic innego jak zlecenie komuś sprawowania określonej funkcji lub wykonanie jakiegoś zadania, przy którym niezbędne jest przekazanie posiadanych baz danych osobowych. Czynność powierzenia przetwarzania danych osobowych może również oznaczać oddanie ich na przechowanie innemu podmiotowi.

Czy powierzenie przetwarzania danych jest prawnie dopuszczalne?

Powierzenie przetwarzania danych jest prawnie dopuszczalne, pozwala na to ustawa o ochronie danych osobowych, jednak pod pewnymi warunkami.

Art. 31 ust. 1 ustawy o ochronie danych osobowych

Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.


Zgodnie z przepisami powierzenie przetwarzania danych w sklepie internetowym powinno więc odbyć się w drodze umowy sporządzonej na piśmie. 

Komu powierza się dane w sklepie internetowym?

Powierzenie danych w sklepie internetowym najczęściej odbywa się na gruncie:

  • usług hostingowych - hostingodawca udostępnia miejsce na serwerze dla baz danych sklepu internetowego;

  • usług płatności elektronicznych - firmy świadczące te usługi pobierają niejednokrotnie dane z baz sklepu;

  • usług marketingowych - podmiot odpowiada m.in. za wysyłkę newslettera z nowościami, na adresy mailowe klientów sklepu;

  • usług dostawczych - np. w modelu dropshippingu gdzie to dostawca odpowiada za dostarczenie towaru, a nie sam sklep internetowy.

Podmiot, któremu powierza się przetwarzanie danych w sklepie internetowym, powinien spełniać wymogi ustawy. Musi zatem jeszcze przed przyjęciem danych osobowych sklepu wdrożyć środki zabezpieczające, o jakich mowa w rozporządzeniu MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia oraz systemy informatyczne, służące do przetwarzania danych osobowych. Dodatkowo bezwzględnie powinien podpisać umowę z prowadzącym sklep internetowy, w której zagwarantuje i oświadczy, że takie środki wdrożył. 

Umowy powierzenia przetwarzania danych w sklepie internetowym

Powierzenie przetwarzania danych w sklepie internetowym powinno być dokonane umową sporządzoną na piśmie. Umowa powierzenia przetwarzania danych powinna zawierać przede wszystkim informację o celu i zakresie, w jakim dane sklep internetowy powierza.

Cel powierzenia danych osobowych w sklepie internetowym

Cel jest to nic innego, jak wskazanie, czemu ma służyć powierzenie danych. Zwykle jest to wskazanie konkretnej umowy współpracy, która wymaga powierzenia przetwarzanych przez sklep internetowych danych. Będzie to zatem umowa z firmą hostingową, u której wynajmuje się serwery, na których przechowywane są bazy należące do sklepu internetowego, czy też umowa z firmą marketingową odpowiedzialną za newsletter nowości sklepowych przesyłany drogą elektroniczną. Drugim niezbędnym elementem umowy powierzenia przetwarzania danych jest zakres.

Zakres powierzanych danych w sklepie internetowym

Przedsiębiorca prowadzący sklep internetowy, powierzając przetwarzanie danych podmiotowi trzeciemu, powinien w umowie określić zakres - jakie zbiory danych sklepu internetowego faktycznie będą podlegały powierzeniu. Określając zakres, wskazuje się nazwę zbioru (zwykle jest to kategoria osób, których dane dotyczą, np. pracownicy, klienci) i poszczególne kategorie danych, np. imię, nazwisko, adres e-mail, numer telefonu.

Wskazując cel i zakres przetwarzania powierzonych danych osobowych, administrator danych (czyli przedsiębiorca prowadzący sklep) obliguje podmiot, któremu dane osobowe powierzono, do przetwarzania ich wyłącznie we wskazanych w umowie obszarach. Każde przetwarzanie wychodzące poza cel lub zakres wskazany w umowie byłoby naruszeniem prawa.

Podpisując umowę powierzenia przetwarzania danych osobowych, można zastrzec również dodatkowe postanowienia dotyczące m.in. prawa do audytu, prawa do upoważnień, zobowiązania do usunięcia danych w momencie wygaśnięcia umowy współpracy będącej podstawą do powierzenia danych.

W praktyce zatem bardzo często dochodzi do sytuacji, w których ma miejsce powierzenie przetwarzania danych w sklepie internetowym. Każdy sklep korzysta bowiem z usług podmiotów trzecich, w przypadku tej specyfiki działalności usługi, z jakich sklep korzysta, wymagają one podania danych klientów. 

Artykuły z cyklu
„Ochrona danych osobowych w sklepie internetowym ”