Udostępnianie, powierzanie i przekazywanie danych osobowych w praktyce

Łukasz Zegarek
ekspert ds. ochrony danych osobowych, audytor, trener
lukasz.zegarek@lex-artist.pl
(22) 253 28 18 Zobacz inne posty autora

Przekazywanie danych osobowychUstawa o ochronie danych osobowych odmiennie klasyfikuje pojęcia udostępniania, powierzania jak i przekazywania danych osobowych.

Udostępnienie danych osobowych

Udostępnianie danych osobowych zgodnie z art. 7 pkt 2 Ustawy jest jedną z form ich przetwarzania, dlatego też warunkiem koniecznym udostępniania danych jest spełnienie przesłanek legalności z art. 23 Ustawy – tzw. zwykłe dane osobowe lub w przypadku tzw. danych szczególnie chronionych, przesłanek z art. 27 ust. 2 Ustawy. Udostępnianie danych osobowych można określić, jako wszelkie działania umożliwiające innym niż administrator podmiotom, zapoznanie się z nimi. Jednak nie każde takie działanie należy uznać za ich udostępnianie, gdyż musi ono nastąpić na rzecz ustawowo określonych odbiorców danych (art. 7 pkt 6), mianowicie: każdego, komu udostępnia się dane osobowe, z wyłączeniem: osoby, której dane dotyczą; osoby upoważnionej do przetwarzania danych; przedstawiciela, o którym mowa w art. 31a (przedstawiciela administratora danych mającego siedzibę lub miejsce zamieszkania w państwie trzecim); podmiotu, o którym mowa w art. 31 (podmiotu, który przetwarza dane na podstawie umowy powierzenia zawartej z administratorem) oraz organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.

Powierzenie przetwarzania danych osobowych

Jak z powyższego wynika odbiorcą danych nie będzie podmiot przetwarzający dane osobowe na podstawie umowy powierzenia (art. 31), dlatego też pojęcia udostępniania i powierzania nie są tożsame. Administrator danych może przetwarzać dane osobowe we własnym zakresie jak również powierzyć ich przetwarzanie innemu podmiotowi na podstawie umowy. Umowa ta musi dokładnie regulować zakres i cel powierzenia danych.

Nie ma ustawowej regulacji powierzenia danych, jednak nie należy go rozumieć, jako czynności na mocy, której administrator zwalnia się z obowiązków, jakie na nim ciążą. Zgodnie z art. 31 ust. 4 odpowiedzialność za przestrzeganie przepisów Ustawy nadal spoczywa na administratorze danych a zakres odpowiedzialności podmiotu, który przetwarza dane na mocy umowy powierzenia dotyczy działań niezgodnych z jej treścią. Podmiot, któremu powierzono dane, przed rozpoczęciem ich przetwarzania zobligowany jest dopełnić określonych czynności w zakresie zabezpieczenia danych osobowych (art. 36-39 Ustawy) oraz spełnić warunki z art. 39a Ustawy. Za działanie wbrew powyższym przepisom podmiot ten, odpowiada jak administrator danych.

W praktyce administrator dzięki zawarciu umowy powierzenia nie wykonuje wszystkich czynności z zakresu przetwarzania danych osobowych samodzielnie – co ma zastosowanie np. przy przeprowadzeniu określonej akcji marketingowej czy outsourcingu księgowości.

Przekazanie danych (w tym do państwa trzeciego)

Natomiast sformułowanie – przekazywanie użyte zostało w Ustawie w odniesieniu przekazywania danych osobowych do państw trzecich. Należy zauważyć, że państwa trzecie zgodnie z Ustawą (art. 7 pkt 7) to państwa nienależące do Europejskiego Obszaru Gospodarczego. Regulacja przekazywania danych osobowych w obrębie Europejskiego Obszaru Gospodarczego nie znalazła miejsca w ustawie, stąd należy sądzić, iż transfer ten odbywa się na takich samych zasadach, co te regulujące przepływ danych osobowych w Polsce. Przekazywanie danych osobowych do państw trzecich w myśl art. 47 ust. 1 Ustawy może nastąpić, jeżeli państwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej. Nie wyklucza to jednak przekazywania danych osobowych do państwa, które nie zapewnia należytej ochrony. Taka sytuacja może nastąpić jedynie na podstawie wypełnienia przesłanek z art. 47 ust. 2 i 3 Ustawy lub na mocy zgody Generalnego Inspektora Danych Osobowych, o której mowa w art. 48 Ustawy.

 Artykuł został napisany na podstawie opracowania autorstwa Anny Iżyckiej.

Bibliografia:

- Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.),

- www.giodo.gov.pl.

Komentarze

Zostaw komentarz