Powierzenie przetwarzania danych a udostępnienie – różne formy przekazywania
Powierzenie czy udostępnienie danych osobowych? Pytanie bumerang – wraca zawsze wtedy, kiedy mamy do czynienia z przekazywaniem danych innemu podmiotowi. A przynajmniej wracać powinno. Właściwe określenie formy przekazywania danych osobowych jest bowiem kluczowe dla zapewnienia zgodności z przepisami RODO. Z innymi obowiązkami będziemy mieć do czynienia przy powierzaniu, a innymi przy udostępnianiu danych.
Odsłuchaj poradnika o przekazywaniu danych osobowych w formie podcastu
Zdefiniowanie ról, czyli kto jest kim?
W procesie przekazywania danych osobowych uczestniczą co najmniej dwa podmioty. Punkt wyjścia, przy określaniu formy przekazywania, stanowić będzie poprawne zdefiniowanie ról tych podmiotów. Mogą one wystąpić w roli:
- administratora, albo
- podmiotu przetwarzającego (tzw. procesora).
Administrator to podmiot, który ustala cele i sposoby przetwarzania danych osobowych. Ma rzeczywisty wpływ na to, co dzieje się z danymi osobowymi. To on określa w jakim celu są one gromadzone i dalej przetwarzane. Decyduje o tym kiedy i komu przekazać dane. Oczywiście wszystko to wykonuje w ramach obowiązujących przepisów prawa. Przetwarzanie przez niego danych osobowych musi odbywać się na podstawie co najmniej jednej z tzw. przesłanek legalizujących. Ich katalog został wskazany w RODO:
- art. 6 ust. 1 RODO – przesłanki dla danych zwykłych;
- art. 9 ust. 2 RODO – przesłanki dla szczególnych kategorii danych (tzw. dane wrażliwe).
W przypadku przetwarzania danych dotyczących wyroków skazujących i czynów zabronionych należy również uwzględnić zasady, o których mowa w art. 10 RODO.
Oprócz konieczności posiadania odpowiedniej podstawy prawnej przetwarzania, administrator musi wypełniać szereg innych obowiązków określonych w przepisach RODO (m.in. dopełnienie obowiązku informacyjnego, realizacja praw osób, których dane dotyczą, wdrożenie odpowiednich środków bezpieczeństwa, zgłaszanie naruszeń, etc.)
Obejrzyj poradnik o przekazywaniu danych osobowych w formie video
Z kolei procesor jest podmiotem, który przetwarza dane osobowe w imieniu administratora. Robi to wyłącznie w zakresie i celu, jakie zostały określone przez administratora danych. Jego prawa i obowiązki w zakresie przetwarzanych danych zasadniczo określa umowa powierzenia przetwarzania danych osobowych. Nie interesuje go katalog przesłanek legalizujących, bo to właśnie umowa powierzenia stanowi podstawę prawną przetwarzania przez niego danych osobowych.
W zależności od tego, w jakiej konfiguracji będą występowały te dwie opisane wyżej role, będziemy mieli do czynienia albo z powierzeniem danych albo z ich udostępnieniem.
Udostępnienie danych osobowych
Udostępnienie danych osobowych stanowi przekazanie danych poza organizację, do podmiotu, który samodzielnie będzie decydował o celach i sposobach przetwarzania tych danych. Innymi słowy, udostępniając dane, administrator przekazuje je innemu administratorowi.
Udostępnienie stanowi formę przetwarzania danych osobowych. Oznacza to, że aby udostępnić dane osobowe, administrator musi dysponować ku temu odpowiednią przesłanką legalizującą.
Skutkiem udostępnienia danych osobowych, jest utrata kontroli nad przetwarzaniem przekazanych danych. W momencie udostępnienia, administrator przestaje już decydować o celach i sposobach przetwarzania danych. Będzie już do tego uprawniony podmiot, który te dane odebrał. Oznacza to, że odpowiedzialność za przetwarzanie danych osobowych, dla jednego podmiotu kończy się, a dla drugiego zaczyna, w momencie przekazania tych danych.
Udostępnienie – o czym pamiętać?
Podmiot, który udostępnia dane osobowe, powinien pamiętać, w szczególności o:
- dysponowaniu odpowiednią podstawą prawną udostępnienia. Może być to np. przepis prawa, zobowiązujący do przekazania danych. Inne często stosowane przesłanki legalności to: wykonanie umowy, czy zgoda osoby, której dane dotyczą. Oczywiście może to być również jakakolwiek inna przesłanka legalizująca wskazana odpowiednio w art. 6 ust. 1 lub art. 9 ust. 2 RODO,
- właściwym dopełnieniu obowiązku informacyjnego. Administrator powinien przekazać szereg informacji osobie, której dane dotyczą. M.in.: informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją. Takim odbiorcą będzie m.in. podmiot, któremu dane są / będą udostępniane,
- bezpiecznym przekazaniu danych. Do momentu udostępnienia danych, administrator odpowiada za ich bezpieczeństwo. Dlatego niezwykle istotne, by przekazanie danych odbyło się z poszanowaniem m.in. zasad integralności i poufności.
Podmiot, który przyjmuje udostępnione dane osobowe, jako ich nowy administrator, powinien zwrócić uwagę, w szczególności na:
- dysponowanie podstawą prawną przetwarzania. Podmiot, który odbiera udostępnione dane osobowe jest ich administratorem, powinien on zatem dysponować odpowiednią przesłanką legalizującą ich przetwarzanie ( 6 ust. 1 lub art. 9 ust. 2 RODO),
- właściwe dopełnienie obowiązku informacyjnego. Gromadząc dane osobowe z innych źródeł, administrator danych jest zobowiązany przekazać osobie, której dane dotyczą odpowiednie informacje, we wskazanym w art. 14 RODO terminie. Jedną z takich informacji będzie między innymi wskazanie źródła z jakich dane osobowe zostały pozyskane.
Praktyczny poradnik o wdrażaniu RODO
Książka RODOLOGIA to kompleksowy przewodnik po RODO, który pomaga wdrożyć ochronę danych osobowych w sposób prosty, szybki i skuteczny. Ponad 500 stron praktycznej wiedzy podanej w przystępnej formie i zrozumiałym języku. A wszystko to podane w pięknej, premium formie.
Dowiedz się więcej o RODOLOGII:
Udostępnienie – praktyczne przykłady
Udostępnianie danych osobowych w związku z realizacją obowiązku prawnego
Najczęściej występujące przypadki udostępnienia danych osobowych wiążą się z realizacją obowiązków nałożonych na administratora przez przepisy prawa.
Takie udostępnienie następuje:
- z inicjatywy administratora, w związku z koniecznością realizacji konkretnego obowiązku przekazania danych osobowych. Zazwyczaj odbywa się to w formie przekazywania cyklicznego, np. przekazywanie danych osobowych do ZUS, Urzędów Skarbowych, etc.,
- na wniosek, w związku z wnioskiem podmiotu uprawnionego do otrzymania danych osobowych. Najczęściej takie sytuacje występują np. w odpowiedzi na pismo od organów ścigania.
W przypadkach udostępnień w związku z realizacją obowiązku prawnego, administrator powinien zwrócić szczególną uwagę, na zakres przekazywanych danych. Tam gdzie pojawia się jakiś obowiązek, a dodatkowo brak jego realizacji jest zagrożony dotkliwą karą, organizacje mają tendencję do przekazywania danych w zbyt szerokim zakresie. Realizując podejście im więcej tym lepiej stoimy jednak w sprzeczności z zasadą minimalizacji danych (art. 5 ust. 1 lit. c) RODO). Zgodnie z którą, przetwarzane (a więc też udostępniane) dane osobowe, powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do realizacji celów.
Udostępnianie danych osobowych za zgodą osoby, której dane dotyczą
Przypadki udostępniania danych na podstawie zgody podmiotu danych, występują często w związku z budowaniem i przekazywaniem baz danych, które mają być wykorzystywane w celach marketingowych. Z udostępnieniem danych z wykorzystaniem zgody, będziemy mieli do czynienia również w niektórych procesach rekrutacyjnych. Przykładowo na podstawie zgody zostanie zrealizowane przekazanie danych interesującego kandydata do innej spółki z grupy kapitałowej.
Udostępnianie danych osobowych w ramach grupy kapitałowej
Do różnego rodzaju udostępnień danych osobowych dochodzi w ramach grup kapitałowych. Jeden z przykładów (rekrutacja) został już wskazany powyżej. Często jednak wzajemne udostepnienie danych pomiędzy spółką matką, a spółkami zależnymi znajduje swoją podstawę w tzw. prawnie uzasadnionym interesie (cele administracyjne, statystyczne). Udostępniane są dane pracowników (np., zestawienia stanowisk, wynagrodzeń) czy też klientów (np. zestawienia aktualnie obsługiwanych podmiotów).
Umowa powierzenia
Trzy gotowe i sprawdzone szablony umowy powierzenia zgodnej z RODO z instrukcją wypełniania.
Zobacz co otrzymasz w pakiecie.
Powierzenie przetwarzania danych osobowych
Powierzenie przetwarzania danych osobowych to umocowanie przez administratora innego podmiotu do przetwarzania danych w jego imieniu.
W relacji powierzenia mamy zatem do czynienia z administratorem, który zleca procesorowi przetwarzanie danych osobowych w jego imieniu, na jego rzecz i na jego zasadach. Powierzając dane, administrator w żadnym stopniu nie traci nad nimi kontroli. Posiada pełną władzę nad tym co dzieje się z przekazanymi danym. Administrator może w każdej chwili zażądać np. zwrotu lub usunięcia danych osobowych.
Z drugiej strony, procesor nie nabywa żadnej kontroli. Dlatego nie może samodzielnie decydować o celach i sposobach przetwarzania przekazanych mu danych osobowych.
Ramy przetwarzania powierzonych danych osobowych określa umowa powierzenia. Dla procesora stanowi ona podstawę przetwarzania, a dla administratora podstawę przekazania danych. Przetwarzanie dokonywane poza umową powierzenia będzie podwójnym naruszeniem. Nie tylko zobowiązań kontraktowych, ale również naruszeniem przepisów RODO. Skutkuje wieloma dodatkowymi ryzykami, w tym – ryzykiem otrzymania kary finansowej od organu nadzoru.
Powierzenie – o czym pamiętać?
Obowiązki powierzającego
Administrator, który powierza przetwarzanie danych osobowych, powinien pamiętać, w szczególności o
- dysponowaniu podstawą prawną przetwarzania. Administrator nie może powierzyć przetwarzania danych osobowych, w stosunku do których nie posiada statusu administratora, tj. nie dysponuje podstawą prawną przetwarzania. Dzieje się tak w myśl zasady, zgodnie z którą nie można przekazać więcej niż się samemu posiada. Jeżeli np. administrator nie ma podstaw do przetwarzania danych osobowych w celach marketingowych, to zlecenie takiego przetwarzania innemu podmiotowi (np. call center) nie będzie możliwe. Taka praktyka będzie naruszała przepisy RODO (zarówno po stronie administratora, jak i procesora).
- właściwe spełnienie obowiązku informacyjnego. Podobnie jak w przypadku udostępniania danych osobowych – administrator, informując osobę, której dane dotyczą o przetwarzaniu jej danych osobowych, powinien przekazać jej informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją, a takim odbiorcą będzie m.in. podmiot, któremu dane są / będą powierzane,
- zawarcie umowy powierzenia przetwarzania danych osobowych. Umowa stanowi dla administratora podstawę przekazania danych osobowych. Bez jej zawarcia, przekazanie przyjmie formę udostępnienia danych podmiotowi nieuprawnionemu i stanowi to naruszenie przepisów RODO. Co więcej, może wiązać się z poniesieniem odpowiedzialności karnej przewidzianej przez przepisy Ustawy o ochronie danych osobowych (grzywna, kara ograniczenia lub pozbawienia wolności).
- bezpieczne przekazanie danych. Tak jak ma to miejsce przy udostępnianiu danych, tak również w przypadkach powierzenia, kiedy administrator danych przekazuje dane procesorowi, powinien zrobić to w ramach przyjętych adekwatnych środków bezpieczeństwa ochrony danych osobowych, z poszanowaniem zasad integralności i poufności danych.
Obowiązki przyjmującego w powierzenie
Procesor przyjmujący dane osobowe do przetwarzania, powinien pamiętać, w szczególności o
- zawarciu umowy powierzenia przetwarzania danych osobowych. Umowa ta stanowi dla procesora podstawę prawną przetwarzania danych osobowych, jest ona kluczowa dla stwierdzenia, czy podmiot przetwarzający ma prawo przetwarzać powierzone mu dane osobowe. Często w naszej praktyce spotykamy się z sytuacjami, kiedy podmioty przetwarzające nie chcą takich umów podpisywać. Wychodzą one bowiem z błędnego założenia, że umowa taka jest tylko dla administratora, a w stosunku do nich, niesie ona za sobą więcej problemów, niż korzyści. Nic bardziej mylnego. Brak umowy powierzenia sprawia, że procesor przetwarza dane jako podmiot nieuprawniony. Jest to zagrożone nie tylko karami przewidzianymi w RODO, ale również w Ustawie o ochronie danych (odpowiedzialność karna tj. grzywna, kara ograniczenia lub pozbawienia wolności). Dodatkowo, dobrze skonstruowana umowa powierzenia daje nie tylko korzyści administratorowi, ale również procesorowi. Należy pamiętać, że jednym z jej elementów powinny być nie tylko obowiązki, ale również prawa podmiotu przetwarzającego. Procesor nie powinien patrzeć na umowę powierzenia jak na dodatkowe, utrudniające mu prowadzenia działalności zobowiązania, ale jak na szansę takiego określenia wzajemnych relacji z administratorem, aby niosły inne korzyści dla obu stron kontraktu.
- uzupełnieniu rejestru kategorii czynności przetwarzania danych osobowych. Obowiązkiem każdego podmiotu przetwarzającego jest prowadzenie rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora (art. 30 ust. 2 RODO). Po podpisaniu umowy procesor powinien dokonać aktualizacji prowadzonego przez siebie rejestru.
Jeśli zależy Ci na bardzo szczegółowym omówieniu różnic pomiędzy powierzeniem przetwarzania a udostępnieniem – zapraszamy na nasz kurs IOD.
Powierzenie – praktyczne przykłady
Powierzenie przetwarzania danych osobowych w praktyce:
- outsourcing usług
Powierzenie przetwarzania danych osobowych występuje w większości przypadków outsourcingów. Standardowym przykładem w tym zakresie jest outsourcing kadr i płac. W tym przypadku pracodawca powierza dane osobowe swoich pracowników innemu podmiotowi, aby podmiot ten realizował w jego imieniu obowiązki w zakresie zatrudniania. Powierzenie występuje również przy przekazywaniu dokumentów zawierających dane osobowe do ich archiwizacji czy też niszczenia (pamiętajmy, że niszczenie też jest przetwarzaniem danych osobowych). Kolejny sztandarowy przykład powierzenia to hosting serwerów. Ważne, aby w tym zakresie zagadnień serwerowych, rozróżnić sobie pojęcia hosting oraz kolokacja. Przy hostingu, gdzie jego dostawca będzie posiadał dostęp do naszych danych, umowa powierzenia jest niezbędna. Inaczej wygląda kwestia kolokacji, czyli usługi wynajmu przestrzeni w serwerowni i udostępnianiu infrastruktury niezbędnej do pracy serwerów. W takim przypadku nie będziemy mieli do czynienia z przekazywaniem danych, a co za tym idzie z powierzeniem.
- benefity
Pracodawcy, którzy udostępniają swoim pracownikom różnego rodzaju benefity (karty sportowe, dodatkową opiekę medyczną), powinni zwrócić uwagę na przekazywanie danych osobowych w tym zakresie. Większe firmy oferujące tego typu świadczenia, zobowiązują pracodawcę do gromadzenia w ich imieniu danych osobowych osób korzystających z benefitu. W tym zakresie zatem, pracodawca będzie występował w roli podmiotu przetwarzającego.
Powierzenie a udostępnienie danych – porównanie
Udostępnienie | Powierzenie | |
Odbiorca danych | Inny administrator, który będzie przetwarzał przekazane dane w swoich własnych celach | Procesor, który będzie przetwarzał przekazane dane w imieniu przekazującego (administratora) |
Podstawa przekazania | Jedna z przesłanek legalizujących (art. 6 ust. 1 lub art. 9 ust. 2 RODO) | Umowa powierzenia przetwarzania danych osobowych lub inny instrument prawny. |
Kontrola | Utrata kontroli nad przekazanymi danymi | Pełna kontrola Administratora nad przekazanymi danymi |
Podsumowanie
W dzisiejszych czasach wymiana informacji, również tych dotyczących osób fizycznych, jest standardem. Na próżno szukać podmiotu, który w żadnym, nawet w najmniejszym stopniu nie przekazuje danych osobowych na zewnątrz, poza swoją organizację. Z drugiej strony, coraz więcej organizacji, z racji świadczonych usług, występuje w roli podmiotu przyjmującego takie dane.
Nierzadko mamy też do czynienia z sytuacjami, gdzie w ramach jednej relacji, każdy z podmiotów występować będzie w różnych rolach (np. zarówno jako administrator, jak i podmiot przetwarzający). Dlatego tak ważne jest, aby każde przekazanie danych osobowych poddać szczegółowej analizie. Jest to bowiem niezbędne dla zapewnienia zgodności z RODO.
Pobierz artykuł w PDF
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.