Czy Twój podwykonawca musi zostać z nazwy wymieniony w polityce prywatności?

Jest niewielu przedsiębiorców, którzy są w stanie prowadzić swój biznes bez korzystania z usług firm trzecich. To twój podwykonawca dostarczy Ci aplikację do wysyłania newslettera. W wielu sytuacjach będziesz powierzał im wykonanie na Twoją rzecz czynności, które będą wiązały się z przetwarzaniem danych osobowych. Będą to dane osobowe, które zostały powierzone Tobie, zatem ty jesteś ich administratorem. Jako administrator masz obowiązek poinformować osoby, których dane przetwarzasz o sposobach ich przetwarzania. Czy zatem musisz w polityce prywatności umieszczać informację o wszystkich swoich podwykonawcach?

Podmiot przetwarzający

Z sytuacją, w której powierzasz firmie trzeciej przetwarzanie danych osobowych na twoją rzecz spotykasz się często. Choćby w przypadku, gdy Twoją księgowość prowadzi zewnętrzna firma. To Twój podwykonawca. Jej pracownicy mają dostęp do danych osobowych zapisanych na fakturach. Jestem przekonany, że nie administrujesz samodzielnie serwerem, na którym trzymasz stronę swojej firmy czy bloga. Samodzielnie nie realizujesz też usług poczty elektronicznej oraz newslettera. W każdym z tych przypadków, korzystając z usług zewnętrznych dostawców, powierzasz im przetwarzanie danych osobowych Twoich klientów w określonym jasno celu. A komunikacja przez Facebook Messenger? Rozmawiasz w ten sposób z klientami przecież czy współpracownikami. Jestem pewien, że nie jesteś właścicielem Facebooka ;),

Laptop podwykonawcy

W każdej z tych sytuacji powinieneś podpisać umowę powierzenia przetwarzania danych osobowych jasno precyzującą zakres powierzonych danych, czynności, jak i odpowiedzialności każdej ze stron. O ile z Facebookiem ciężko będzie Ci taką umowę zawrzeć, to w każdej z pozostałych sytuacji będzie to prostsze. Może być to oddzielny dokument, część umowy lub element akceptowanego przez Ciebie regulaminu. Taka firma, w myśl RODO, to nie podwykonawca. a podmiot przetwarzający. Czy o każdym z takich podmiotów musisz informować w polityce prywatności?

Nie odkrywaj kart

Co do zasady musisz poinformować osobę, która powierza Ci swoje dane osobowe o celu przetwarzania, retencji czy osobie administratora tych danych. Czytelnik Twojego bloga, uczestnik kursu, a nawet subskrybent newslettera, musi wiedzieć, po co potrzebujesz jego dane, jaki jest ich zakres oraz w jakim celu będziesz je wykorzystywał. Natomiast sposób realizacji wskazanej czynności jest jedynie elementem Twojego warsztatu pracy. To ty jako administrator odpowiadasz za bezpieczeństwo procesu przetwarzania, w tym także za dobór odpowiednich podwykonawców gwarantujących poprawne wykonanie wskazanych czynności. Twój podwykonawca również musi gwarantować bezpieczeństwo tych danych. W większości przypadków jednak, dopóki Twój klient wprost nie zapyta nie musisz informować go dokładnie z usług, jakich podmiotów przetwarzających korzystasz.

Upublicznienie listy Twoich podwykonawców w polityce prywatności generuje dla Ciebie problemy. Po pierwsze odsłaniasz swój warsztat pracy. Pokazujesz dokładnie, w jaki prowadzisz swoją firmę. Być może masz niezwykle utalentowanego informatyka, twórcę sklepu internetowego czy księgowego i nie chcesz ich stracić – zawsze istnieje ryzyko, że ktoś może chcieć ich podkupić, oferując lepsze zarobki niż ty jesteś w stanie zaoferować. Jeżeli twoja firma będzie rosnąć, to prawdopodobnie lista podwykonawców zacznie się wydłużać. Będziesz zatem poświęcać czas na ciągłe aktualizowanie polityki prywatności. A jeżeli zdecydujesz się o każdej takiej aktualizacji informować osoby zapisane na Twój newsletter, to jestem pewien, że szybko oni zaczną się z niego wypisywać.

Marketing

Jeżeli masz wątpliwości jak postępować to popatrz w jaki sposób do problemu podchodzą większe, publicznie znane firmy. Jeżeli zajrzysz do polityki prywatności dużego portalu jak Onet albo sklepu internetowego Zalando, nie znajdziesz tam dokładnych informacji. Nie ma tam słowa o podmiotach przetwarzających dane osobowe celem wykonania choćby dostawy towaru. Znajdziesz za to jasną informację, że Twoje dane są przekazywane firmom realizującym usługi kurierskie. Podwykonawca otrzyma dane osobowe Twojego klienta aby dostarczyć zamówiony produkt. Takie podejście jest jasne dla konsumenta i wygodne dla administratora. W razie potrzeby Kowalski może zadać odpowiednie pytanie.

Jest jednak grupa firm, które są wymienione w polityce prywatności z nazwy. Często używa się pod ich adresem enigmatycznego skrótu „zaufani partnerzy”. Jest to nazwa tylko i wyłącznie marketingowa niemająca nic wspólnego z definicjami zapisanymi w RODO. Wszystkie te firmy mają jeden wspólny mianownik – przetwarzają Twoje dane osobowe w celach marketingowych, aby dokonać profilowania Ciebie jako klienta, sprzedać lub zareklamować Ci jakiś dopasowany do Ciebie produkt. Dokonują zatem, oby za Twoją zgodą, ingerencji w Twoją strefę prywatności. Taka firma już nie do końca Twój podwykonawca, gdyż niejednokrotnie sama te dane na swój użytek będzie wykorzystywać.

Co wpisać w polityce prywatności

Umieszczenie odpowiednich informacji w polityce prywatności musi być odpowiednio wyważone. Z jednej strony musisz spełniać wymogi informacyjne, które narzuca na Ciebie RODO, z drugiej zaś nie jest wskazane odsłanianie swojego warsztatu pracy czy dodawanie sobie niepotrzebnej pracy. Jeżeli chcesz postępować tak jak ja, kieruj się następującymi zasadami:

  • Informuj o celach przetwarzania (wymóg RODO). Poinformuj, że do realizacji danego celu korzystasz z usług podwykonawców, którym powierzasz przetwarzanie całości lub części powierzonych Ci danych.
  • Przekazuj podwykonawcom tylko niezbędne dane do wykonania danej czynności
  • Wymieniaj współadministratorów danych osobowych. Jednym z nich w wielu czynnościach będzie Facebook.
  • Zawsze wymieniaj z nazwy firmy, którym powierzasz realizację zadań związanych z profilowaniem i marketingiem. Pilnuj, czy przypadkiem nie jesteś współadministratorem, gdy firmy te pozyskane dane będą wykorzystywały także na swój użytek.
  • Wymień firmy, za których pośrednictwem prowadzisz analitykę ruchu na swojej stronie WWW oraz wyświetlasz reklamy.

Pamiętaj także, by zawsze szczerze odpowiadać na pytania osób, które powierzyły Ci swoje dane osobowe. Nie warto ukrywać faktów, a już na pewno nie warto kłamać.

Nie wiesz jak stworzyć politykę prywatności? Masz problem z prowadzeniem rejestru czynności przetwarzania? Nie wiesz, czy odpowiednio chronisz proces przetwarzania danych osobowych w swojej firmie? Czy twoje narzędzia IT spełniają wymogi RODO? Pozwól, że Ci pomogę!
Konsultacje

Informuj mnie o nowościach

Podając nam swój adres email wyrażasz zgodę na otrzymywanie od nas wiadomości o nowościach w serwisie RODOwskaz.online, usługach czy podsumowaniem ważnych zmian i interpretacji prawa związanych z przetwarzaniem danych osobowych w Twojej firmie. W każdej chwili możesz zrezygnować z otrzymywania informacji wypisując się z listy. Odpowiedni odnośnik znajdziesz w każdym mailu. Więcej informacji o przetwarzaniu danych osobowych znajdziesz w naszej polityce prywatności.

Pobierz poradnik, dzięki któremu zaczniesz dostosowywać swoją firmę do wymogów RODO