Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Udostępnianie, powierzanie i przekazywanie danych osobowych w praktyce

global-business-briefcase BANNER

Ustawa o ochronie danych osobowych odmiennie klasyfikuje pojęcia udostępniania, powierzania jak i przekazywania danych osobowych.

Udostępnienie danych osobowych

Udostępnianie danych osobowych zgodnie z art. 7 pkt 2 Ustawy jest jedną z form ich przetwarzania, dlatego też warunkiem koniecznym udostępniania danych jest spełnienie przesłanek legalności z art. 23 Ustawy – tzw. zwykłe dane osobowe lub w przypadku tzw. danych szczególnie chronionych, przesłanek z art. 27 ust. 2 Ustawy. Udostępnianie danych osobowych można określić, jako wszelkie działania umożliwiające innym niż administrator podmiotom, zapoznanie się z nimi. Jednak nie każde takie działanie należy uznać za ich udostępnianie, gdyż musi ono nastąpić na rzecz ustawowo określonych odbiorców danych (art. 7 pkt 6), mianowicie: każdego, komu udostępnia się dane osobowe, z wyłączeniem: osoby, której dane dotyczą; osoby upoważnionej do przetwarzania danych; przedstawiciela, o którym mowa w art. 31a (przedstawiciela administratora danych mającego siedzibę lub miejsce zamieszkania w państwie trzecim); podmiotu, o którym mowa w art. 31 (podmiotu, który przetwarza dane na podstawie umowy powierzenia zawartej z administratorem) oraz organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.

Powierzenie przetwarzania danych osobowych

Jak z powyższego wynika odbiorcą danych nie będzie podmiot przetwarzający dane osobowe na podstawie umowy powierzenia (art. 31), dlatego też pojęcia udostępniania i powierzania nie są tożsame. Administrator danych może przetwarzać dane osobowe we własnym zakresie jak również powierzyć ich przetwarzanie innemu podmiotowi na podstawie umowy. Umowa ta musi dokładnie regulować zakres i cel powierzenia danych.

Nie ma ustawowej regulacji powierzenia danych, jednak nie należy go rozumieć, jako czynności na mocy, której administrator zwalnia się z obowiązków, jakie na nim ciążą. Zgodnie z art. 31 ust. 4 odpowiedzialność za przestrzeganie przepisów Ustawy nadal spoczywa na administratorze danych a zakres odpowiedzialności podmiotu, który przetwarza dane na mocy umowy powierzenia dotyczy działań niezgodnych z jej treścią. Podmiot, któremu powierzono dane, przed rozpoczęciem ich przetwarzania zobligowany jest dopełnić określonych czynności w zakresie zabezpieczenia danych osobowych (art. 36-39 Ustawy) oraz spełnić warunki z art. 39a Ustawy. Za działanie wbrew powyższym przepisom podmiot ten, odpowiada jak administrator danych.

W praktyce administrator dzięki zawarciu umowy powierzenia nie wykonuje wszystkich czynności z zakresu przetwarzania danych osobowych samodzielnie – co ma zastosowanie np. przy przeprowadzeniu określonej akcji marketingowej czy outsourcingu księgowości.

Przekazanie danych (w tym do państwa trzeciego)

Natomiast sformułowanie – przekazywanie użyte zostało w Ustawie w odniesieniu przekazywania danych osobowych do państw trzecich. Należy zauważyć, że państwa trzecie zgodnie z Ustawą (art. 7 pkt 7) to państwa nienależące do Europejskiego Obszaru Gospodarczego. Regulacja przekazywania danych osobowych w obrębie Europejskiego Obszaru Gospodarczego nie znalazła miejsca w ustawie, stąd należy sądzić, iż transfer ten odbywa się na takich samych zasadach, co te regulujące przepływ danych osobowych w Polsce. Przekazywanie danych osobowych do państw trzecich w myśl art. 47 ust. 1 Ustawy może nastąpić, jeżeli państwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej. Nie wyklucza to jednak przekazywania danych osobowych do państwa, które nie zapewnia należytej ochrony. Taka sytuacja może nastąpić jedynie na podstawie wypełnienia przesłanek z art. 47 ust. 2 i 3 Ustawy lub na mocy zgody Generalnego Inspektora Danych Osobowych, o której mowa w art. 48 Ustawy.

 Artykuł został napisany na podstawie opracowania autorstwa Anny Iżyckiej.

Bibliografia:

– Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.),

www.giodo.gov.pl.

Powiązane artykuły

Powierzenie danych osobowych – od ogółu do szczegółu
Przekazywanie danych do USA – Privacy Shield
Program 500+ a ochrona danych osobowych

4 Odpowiedzi

  1. qjub

    Witam, zatem konkretne pytanie: jestem lekarzem, podpisuję umowę z zewnętrznym laboratorium diagnostycznym, wysyłam tam krew pacjenta wraz z danymi osobowymi i medycznymi (Imię, Nazwisko, pesel, adres, itp. + stan zdrowia).
    Co zatem robię: udostępniam czy powierzam? (co lepsze/bardziej wymagane)
    Dziękuję za odpowiedź

    1. Kancelaria Lex Artist

      W Pana przypadku mamy do czynienia ze zleceniem pewnych czynności (badanie krwi) podmiotowi zewnętrznemu (laboratorium diagnostyczne), w związku z którymi następuje powierzenie temu podmiotowi danych osobowych pacjentów. Mając na uwadze fakt, że zawarł Pan umowę o współpracy w tym zakresie, ma Pan 2 opcje do wyboru. Może Pan zawrzeć z laboratorium diagnostycznym odrębną umowę powierzenia, o której mowa w art. 31 u.o.d.o., z powołaniem się na umowę o współpracy. Należy w niej określić zakres (np. operacje na zbiorze obejmującym dane pacjentów) i cel przetwarzania danych (np. realizacja umowy głównej). Alternatywnym rozwiązaniem jest wprowadzenie aneksem do zawartej z laboratorium umowy o współpracy stosownych klauzul dotyczących powierzenia. Dodane do tej umowy postanowienia również powinny czynić zadość regulacjom z art. 31 u.o.d.o., tj. powinien zostać wskazany zakres i cel przetwarzania danych.

  2. Roman

    Ten artykulik pozostawił we mnie pewien niedosyt. Nadal mam mianowicie wątpliwość, w czym tkwi różnica pomiędzy „udostępnianiem” i „powierzeniem przetwarzania”. Szereg instytucji w świecie finansów muszą ze sobą współpracować dla obsłużenia klienta. Np jeżeli banki wymieniają między sobą informacje o skradzionych dowodach osobistych, to czy jest to „udostępnianie” czy jedna drugiej „powierza przetwarzanie”? Takich przykładów wspólnego działania, w którym jedna instytucja przekazuje drugiej dane, bo musi, jest wiele. Inny przykład: zapisy przez Giełdę – zapisy przyjmują biura maklerskie, ale przekazują na Giełdę wraz z zapisem także info identyfikujące klienta po to, by Giełda mogła sprawdzić, czy delikwent nie zapisał się równolegle i w innym biurze maklerskim. Czy w takiej sytuacji biuro udostępnia Giełdzie dane czy powierza?

  3. Karol

    Witam. Pewna firma, której profil polega na „ubezpieczaniu należności” stworzyła coś na zasadzie odznaczenia firm (nagroda, certyfikat).
    Jest to duża i powszechnie znana firma. Zastanawia mnie wymóg wysłania im listy kontrahentów (nazwa i adres mail’owy) (niektóre z adresów mogą być imienne)
    Czy jest to zgodne z ustawą o ochronie danych? Jeśli nie, to kto w takim wypadku będzie odpowiadać? Obydwie firmy czy tylko ta udostępniająca?

Zostaw odpowiedź