Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Udostępnianie, powierzanie i przekazywanie danych osobowych w praktyce

global-business-briefcase BANNER

Ustawa o ochronie danych osobowych odmiennie klasyfikuje pojęcia udostępniania, powierzania jak i przekazywania danych osobowych.

Udostępnienie danych osobowych

Udostępnianie danych osobowych zgodnie z art. 7 pkt 2 Ustawy jest jedną z form ich przetwarzania, dlatego też warunkiem koniecznym udostępniania danych jest spełnienie przesłanek legalności z art. 23 Ustawy – tzw. zwykłe dane osobowe lub w przypadku tzw. danych szczególnie chronionych, przesłanek z art. 27 ust. 2 Ustawy. Udostępnianie danych osobowych można określić, jako wszelkie działania umożliwiające innym niż administrator podmiotom, zapoznanie się z nimi. Jednak nie każde takie działanie należy uznać za ich udostępnianie, gdyż musi ono nastąpić na rzecz ustawowo określonych odbiorców danych (art. 7 pkt 6), mianowicie: każdego, komu udostępnia się dane osobowe, z wyłączeniem: osoby, której dane dotyczą; osoby upoważnionej do przetwarzania danych; przedstawiciela, o którym mowa w art. 31a (przedstawiciela administratora danych mającego siedzibę lub miejsce zamieszkania w państwie trzecim); podmiotu, o którym mowa w art. 31 (podmiotu, który przetwarza dane na podstawie umowy powierzenia zawartej z administratorem) oraz organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.

Powierzenie przetwarzania danych osobowych

Jak z powyższego wynika odbiorcą danych nie będzie podmiot przetwarzający dane osobowe na podstawie umowy powierzenia (art. 31), dlatego też pojęcia udostępniania i powierzania nie są tożsame. Administrator danych może przetwarzać dane osobowe we własnym zakresie jak również powierzyć ich przetwarzanie innemu podmiotowi na podstawie umowy. Umowa ta musi dokładnie regulować zakres i cel powierzenia danych.

Nie ma ustawowej regulacji powierzenia danych, jednak nie należy go rozumieć, jako czynności na mocy, której administrator zwalnia się z obowiązków, jakie na nim ciążą. Zgodnie z art. 31 ust. 4 odpowiedzialność za przestrzeganie przepisów Ustawy nadal spoczywa na administratorze danych a zakres odpowiedzialności podmiotu, który przetwarza dane na mocy umowy powierzenia dotyczy działań niezgodnych z jej treścią. Podmiot, któremu powierzono dane, przed rozpoczęciem ich przetwarzania zobligowany jest dopełnić określonych czynności w zakresie zabezpieczenia danych osobowych (art. 36-39 Ustawy) oraz spełnić warunki z art. 39a Ustawy. Za działanie wbrew powyższym przepisom podmiot ten, odpowiada jak administrator danych.

W praktyce administrator dzięki zawarciu umowy powierzenia nie wykonuje wszystkich czynności z zakresu przetwarzania danych osobowych samodzielnie – co ma zastosowanie np. przy przeprowadzeniu określonej akcji marketingowej czy outsourcingu księgowości.

Przekazanie danych (w tym do państwa trzeciego)

Natomiast sformułowanie – przekazywanie użyte zostało w Ustawie w odniesieniu przekazywania danych osobowych do państw trzecich. Należy zauważyć, że państwa trzecie zgodnie z Ustawą (art. 7 pkt 7) to państwa nienależące do Europejskiego Obszaru Gospodarczego. Regulacja przekazywania danych osobowych w obrębie Europejskiego Obszaru Gospodarczego nie znalazła miejsca w ustawie, stąd należy sądzić, iż transfer ten odbywa się na takich samych zasadach, co te regulujące przepływ danych osobowych w Polsce. Przekazywanie danych osobowych do państw trzecich w myśl art. 47 ust. 1 Ustawy może nastąpić, jeżeli państwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej. Nie wyklucza to jednak przekazywania danych osobowych do państwa, które nie zapewnia należytej ochrony. Taka sytuacja może nastąpić jedynie na podstawie wypełnienia przesłanek z art. 47 ust. 2 i 3 Ustawy lub na mocy zgody Generalnego Inspektora Danych Osobowych, o której mowa w art. 48 Ustawy.

 Artykuł został napisany na podstawie opracowania autorstwa Anny Iżyckiej.

Bibliografia:

– Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.),

www.giodo.gov.pl.

Powiązane artykuły

Umowa powierzenia przetwarzania danych osobowych dziś i według RODO
Powierzenie danych osobowych – odpowiedzialność i orzecznictwo
Przekazywanie danych do USA – Privacy Shield

6 Odpowiedzi

  1. qjub

    Witam, zatem konkretne pytanie: jestem lekarzem, podpisuję umowę z zewnętrznym laboratorium diagnostycznym, wysyłam tam krew pacjenta wraz z danymi osobowymi i medycznymi (Imię, Nazwisko, pesel, adres, itp. + stan zdrowia).
    Co zatem robię: udostępniam czy powierzam? (co lepsze/bardziej wymagane)
    Dziękuję za odpowiedź

    1. Kancelaria Lex Artist

      W Pana przypadku mamy do czynienia ze zleceniem pewnych czynności (badanie krwi) podmiotowi zewnętrznemu (laboratorium diagnostyczne), w związku z którymi następuje powierzenie temu podmiotowi danych osobowych pacjentów. Mając na uwadze fakt, że zawarł Pan umowę o współpracy w tym zakresie, ma Pan 2 opcje do wyboru. Może Pan zawrzeć z laboratorium diagnostycznym odrębną umowę powierzenia, o której mowa w art. 31 u.o.d.o., z powołaniem się na umowę o współpracy. Należy w niej określić zakres (np. operacje na zbiorze obejmującym dane pacjentów) i cel przetwarzania danych (np. realizacja umowy głównej). Alternatywnym rozwiązaniem jest wprowadzenie aneksem do zawartej z laboratorium umowy o współpracy stosownych klauzul dotyczących powierzenia. Dodane do tej umowy postanowienia również powinny czynić zadość regulacjom z art. 31 u.o.d.o., tj. powinien zostać wskazany zakres i cel przetwarzania danych.

  2. Roman

    Ten artykulik pozostawił we mnie pewien niedosyt. Nadal mam mianowicie wątpliwość, w czym tkwi różnica pomiędzy “udostępnianiem” i “powierzeniem przetwarzania”. Szereg instytucji w świecie finansów muszą ze sobą współpracować dla obsłużenia klienta. Np jeżeli banki wymieniają między sobą informacje o skradzionych dowodach osobistych, to czy jest to “udostępnianie” czy jedna drugiej “powierza przetwarzanie”? Takich przykładów wspólnego działania, w którym jedna instytucja przekazuje drugiej dane, bo musi, jest wiele. Inny przykład: zapisy przez Giełdę – zapisy przyjmują biura maklerskie, ale przekazują na Giełdę wraz z zapisem także info identyfikujące klienta po to, by Giełda mogła sprawdzić, czy delikwent nie zapisał się równolegle i w innym biurze maklerskim. Czy w takiej sytuacji biuro udostępnia Giełdzie dane czy powierza?

  3. Karol

    Witam. Pewna firma, której profil polega na “ubezpieczaniu należności” stworzyła coś na zasadzie odznaczenia firm (nagroda, certyfikat).
    Jest to duża i powszechnie znana firma. Zastanawia mnie wymóg wysłania im listy kontrahentów (nazwa i adres mail’owy) (niektóre z adresów mogą być imienne)
    Czy jest to zgodne z ustawą o ochronie danych? Jeśli nie, to kto w takim wypadku będzie odpowiadać? Obydwie firmy czy tylko ta udostępniająca?

  4. Słaowmir

    a jak mam pytanie . jestem sprzedawcą na allegro . allegro udostępnia mi dane osobowe klientów w celu realizacji zlecenia. pytanie brzmi kim jestem i jaki jest mój obowiązek jeśli wejdą w życie nowe przepisy . ja przetwarzam dane aby wystawić fakturę i nadać paczkę na poczcie a fakturę fakturuje zewnętrzne biuro rachunkowe
    z mim mam mieć umowę ? z pocztą polską z kurierem z biurem księgowym odpowierzania ? i druga sytuacja , ja chce coś kupić w sklepie motoryzacyjnym na firmę , sklep wysyła do mnie proformę z swoimi danymi , ja odpowierzam dane z proformy do banku , pytanie brzmi ja muszę mieć umowe z każdym bankiem bo jestem administratorem danych . i jeszcze jedno robię przelew na poczcie , czy ja mam mieć umowę z poczta na odpowierzanie danych w celu realizacji przelewu ?

    1. Kancelaria Lex Artist

      Witamy!
      W przypadku danych osobowych swoich klientów jest Pan Administratorem Danych Osobowych i względem klientów jest Pan zobowiązany do spełnienia obowiązku informacyjnego tj. poinformowania o tym, kto w jakim celu przetwarza ich dane osobowe, i o prawach jakie im w związku z tym przysługują. Określenie dokładnego zakresu obowiązków ciążących na Panu pod kątem ochrony danych osobowych wymagałby szczegółowej analizy pańskiej firmy.
      Odnosząc się do sprawy dot. Allegro, zewnętrznego biura księgowego – warto na początek sprawdzić zapisy umów, regulaminów pod kątem ochrony danych – być może są już tam stosowne zapisy – jeśli ich nie ma powinna być zawarta oddzielna umowa powierzenia. Jeśli chodzi o kwestie firm kurierskich, to w przypadku stałej współpracy sugerujemy podpisanie oddzielnej umowy powierzenia przetwarzania danych osobowych. Jeśli współpraca z firmami kurierskimi jest okazjonalna (co jakiś czas przesyłka, dokument, nadanie, odbiór paczki) – to wtedy traktujemy proces jako udostępnienie.
      W przypadku banku jeśli zawarł Pan z nimi umowę – proponujemy przede wszystkim zweryfikowanie jej pod kątem zapisów dotyczących ochrony danych osobowych.
      Pozdrawiamy!

Zostaw odpowiedź