Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Udostępnianie, powierzanie i przekazywanie danych osobowych w praktyce

global-business-briefcase BANNER

Ustawa o ochronie danych osobowych odmiennie klasyfikuje pojęcia udostępniania, powierzania jak i przekazywania danych osobowych.

Udostępnienie danych osobowych

Udostępnianie danych osobowych zgodnie z art. 7 pkt 2 Ustawy jest jedną z form ich przetwarzania, dlatego też warunkiem koniecznym udostępniania danych jest spełnienie przesłanek legalności z art. 23 Ustawy – tzw. zwykłe dane osobowe lub w przypadku tzw. danych szczególnie chronionych, przesłanek z art. 27 ust. 2 Ustawy. Udostępnianie danych osobowych można określić, jako wszelkie działania umożliwiające innym niż administrator podmiotom, zapoznanie się z nimi. Jednak nie każde takie działanie należy uznać za ich udostępnianie, gdyż musi ono nastąpić na rzecz ustawowo określonych odbiorców danych (art. 7 pkt 6), mianowicie: każdego, komu udostępnia się dane osobowe, z wyłączeniem: osoby, której dane dotyczą; osoby upoważnionej do przetwarzania danych; przedstawiciela, o którym mowa w art. 31a (przedstawiciela administratora danych mającego siedzibę lub miejsce zamieszkania w państwie trzecim); podmiotu, o którym mowa w art. 31 (podmiotu, który przetwarza dane na podstawie umowy powierzenia zawartej z administratorem) oraz organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.

Powierzenie przetwarzania danych osobowych

Jak z powyższego wynika odbiorcą danych nie będzie podmiot przetwarzający dane osobowe na podstawie umowy powierzenia (art. 31), dlatego też pojęcia udostępniania i powierzania nie są tożsame. Administrator danych może przetwarzać dane osobowe we własnym zakresie jak również powierzyć ich przetwarzanie innemu podmiotowi na podstawie umowy. Umowa ta musi dokładnie regulować zakres i cel powierzenia danych.

Nie ma ustawowej regulacji powierzenia danych, jednak nie należy go rozumieć, jako czynności na mocy, której administrator zwalnia się z obowiązków, jakie na nim ciążą. Zgodnie z art. 31 ust. 4 odpowiedzialność za przestrzeganie przepisów Ustawy nadal spoczywa na administratorze danych a zakres odpowiedzialności podmiotu, który przetwarza dane na mocy umowy powierzenia dotyczy działań niezgodnych z jej treścią. Podmiot, któremu powierzono dane, przed rozpoczęciem ich przetwarzania zobligowany jest dopełnić określonych czynności w zakresie zabezpieczenia danych osobowych (art. 36-39 Ustawy) oraz spełnić warunki z art. 39a Ustawy. Za działanie wbrew powyższym przepisom podmiot ten, odpowiada jak administrator danych.

W praktyce administrator dzięki zawarciu umowy powierzenia nie wykonuje wszystkich czynności z zakresu przetwarzania danych osobowych samodzielnie – co ma zastosowanie np. przy przeprowadzeniu określonej akcji marketingowej czy outsourcingu księgowości.

Przekazanie danych (w tym do państwa trzeciego)

Natomiast sformułowanie – przekazywanie użyte zostało w Ustawie w odniesieniu przekazywania danych osobowych do państw trzecich. Należy zauważyć, że państwa trzecie zgodnie z Ustawą (art. 7 pkt 7) to państwa nienależące do Europejskiego Obszaru Gospodarczego. Regulacja przekazywania danych osobowych w obrębie Europejskiego Obszaru Gospodarczego nie znalazła miejsca w ustawie, stąd należy sądzić, iż transfer ten odbywa się na takich samych zasadach, co te regulujące przepływ danych osobowych w Polsce. Przekazywanie danych osobowych do państw trzecich w myśl art. 47 ust. 1 Ustawy może nastąpić, jeżeli państwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej. Nie wyklucza to jednak przekazywania danych osobowych do państwa, które nie zapewnia należytej ochrony. Taka sytuacja może nastąpić jedynie na podstawie wypełnienia przesłanek z art. 47 ust. 2 i 3 Ustawy lub na mocy zgody Generalnego Inspektora Danych Osobowych, o której mowa w art. 48 Ustawy.

 Artykuł został napisany na podstawie opracowania autorstwa Anny Iżyckiej.

Bibliografia:

– Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.),

www.giodo.gov.pl.

Powiązane artykuły

Umowa powierzenia przetwarzania danych osobowych dziś i według RODO
Powierzenie danych osobowych – odpowiedzialność i orzecznictwo
Przekazywanie danych do USA – Privacy Shield

12 Odpowiedzi

  1. qjub

    Witam, zatem konkretne pytanie: jestem lekarzem, podpisuję umowę z zewnętrznym laboratorium diagnostycznym, wysyłam tam krew pacjenta wraz z danymi osobowymi i medycznymi (Imię, Nazwisko, pesel, adres, itp. + stan zdrowia).
    Co zatem robię: udostępniam czy powierzam? (co lepsze/bardziej wymagane)
    Dziękuję za odpowiedź

    1. Kancelaria Lex Artist

      W Pana przypadku mamy do czynienia ze zleceniem pewnych czynności (badanie krwi) podmiotowi zewnętrznemu (laboratorium diagnostyczne), w związku z którymi następuje powierzenie temu podmiotowi danych osobowych pacjentów. Mając na uwadze fakt, że zawarł Pan umowę o współpracy w tym zakresie, ma Pan 2 opcje do wyboru. Może Pan zawrzeć z laboratorium diagnostycznym odrębną umowę powierzenia, o której mowa w art. 31 u.o.d.o., z powołaniem się na umowę o współpracy. Należy w niej określić zakres (np. operacje na zbiorze obejmującym dane pacjentów) i cel przetwarzania danych (np. realizacja umowy głównej). Alternatywnym rozwiązaniem jest wprowadzenie aneksem do zawartej z laboratorium umowy o współpracy stosownych klauzul dotyczących powierzenia. Dodane do tej umowy postanowienia również powinny czynić zadość regulacjom z art. 31 u.o.d.o., tj. powinien zostać wskazany zakres i cel przetwarzania danych.

  2. Roman

    Ten artykulik pozostawił we mnie pewien niedosyt. Nadal mam mianowicie wątpliwość, w czym tkwi różnica pomiędzy “udostępnianiem” i “powierzeniem przetwarzania”. Szereg instytucji w świecie finansów muszą ze sobą współpracować dla obsłużenia klienta. Np jeżeli banki wymieniają między sobą informacje o skradzionych dowodach osobistych, to czy jest to “udostępnianie” czy jedna drugiej “powierza przetwarzanie”? Takich przykładów wspólnego działania, w którym jedna instytucja przekazuje drugiej dane, bo musi, jest wiele. Inny przykład: zapisy przez Giełdę – zapisy przyjmują biura maklerskie, ale przekazują na Giełdę wraz z zapisem także info identyfikujące klienta po to, by Giełda mogła sprawdzić, czy delikwent nie zapisał się równolegle i w innym biurze maklerskim. Czy w takiej sytuacji biuro udostępnia Giełdzie dane czy powierza?

  3. Karol

    Witam. Pewna firma, której profil polega na “ubezpieczaniu należności” stworzyła coś na zasadzie odznaczenia firm (nagroda, certyfikat).
    Jest to duża i powszechnie znana firma. Zastanawia mnie wymóg wysłania im listy kontrahentów (nazwa i adres mail’owy) (niektóre z adresów mogą być imienne)
    Czy jest to zgodne z ustawą o ochronie danych? Jeśli nie, to kto w takim wypadku będzie odpowiadać? Obydwie firmy czy tylko ta udostępniająca?

  4. Słaowmir

    a jak mam pytanie . jestem sprzedawcą na allegro . allegro udostępnia mi dane osobowe klientów w celu realizacji zlecenia. pytanie brzmi kim jestem i jaki jest mój obowiązek jeśli wejdą w życie nowe przepisy . ja przetwarzam dane aby wystawić fakturę i nadać paczkę na poczcie a fakturę fakturuje zewnętrzne biuro rachunkowe
    z mim mam mieć umowę ? z pocztą polską z kurierem z biurem księgowym odpowierzania ? i druga sytuacja , ja chce coś kupić w sklepie motoryzacyjnym na firmę , sklep wysyła do mnie proformę z swoimi danymi , ja odpowierzam dane z proformy do banku , pytanie brzmi ja muszę mieć umowe z każdym bankiem bo jestem administratorem danych . i jeszcze jedno robię przelew na poczcie , czy ja mam mieć umowę z poczta na odpowierzanie danych w celu realizacji przelewu ?

    1. Kancelaria Lex Artist

      Witamy!
      W przypadku danych osobowych swoich klientów jest Pan Administratorem Danych Osobowych i względem klientów jest Pan zobowiązany do spełnienia obowiązku informacyjnego tj. poinformowania o tym, kto w jakim celu przetwarza ich dane osobowe, i o prawach jakie im w związku z tym przysługują. Określenie dokładnego zakresu obowiązków ciążących na Panu pod kątem ochrony danych osobowych wymagałby szczegółowej analizy pańskiej firmy.
      Odnosząc się do sprawy dot. Allegro, zewnętrznego biura księgowego – warto na początek sprawdzić zapisy umów, regulaminów pod kątem ochrony danych – być może są już tam stosowne zapisy – jeśli ich nie ma powinna być zawarta oddzielna umowa powierzenia. Jeśli chodzi o kwestie firm kurierskich, to w przypadku stałej współpracy sugerujemy podpisanie oddzielnej umowy powierzenia przetwarzania danych osobowych. Jeśli współpraca z firmami kurierskimi jest okazjonalna (co jakiś czas przesyłka, dokument, nadanie, odbiór paczki) – to wtedy traktujemy proces jako udostępnienie.
      W przypadku banku jeśli zawarł Pan z nimi umowę – proponujemy przede wszystkim zweryfikowanie jej pod kątem zapisów dotyczących ochrony danych osobowych.
      Pozdrawiamy!

  5. Łukasz

    Witam. Jestem projektantem sieci elektroenergetycznych.
    Podczas realizacji projektu na zlecenie Urzędu gminy uzyskiwaliśmy zgody mieszkańców na przeprowadzenie prac na ich działkach prywatnych. Większość mieszkańców nie wyraziła zgody na modernizację sieci, co wraz z innymi okolicznościami spowodowało zatrzymanie, a następnie anulowanie projektu. Pozostały nam materiały – oświadczenia zgody lub braku zgody z danymi osobowymi mieszkańców (imię, nazwisko, adres, nr telefonu, często nr dowodu osobistego w przypadku umowy zawierania umowy cywilno-prawnej na lokalizację urządzenia w działce mieszkańca). Do rozliczenia kosztów poniesionych przy tworzeniu projektu budowlanego, jesteśmy zobowiązani umową z Urzędem Gminy do przekazania “uzyskanych w procesie projektowym opinii, decyzji, oświadczeń, umów”. J
    Jak powyższa sytuacja odnosi się do ustawie o ochronie danych osobowych? Czy przekazanie do Inwestora – Urzędu Gminy – pliku dokumentów z danymi osobowymi musi nastąpić stosownym pismem, stosowną klauzulą?
    Dziękuję z góry za odpowiedź.

    1. Kancelaria Lex Artist

      Dzień dobry. W tym przypadku nie będzie konieczności pozyskania zgód osób, które wyraziły/nie wyraziły zgody na modernizację sieci. Opisana przez Pana relacja jest powierzeniem przetwarzania danych osobowych, w której jako administrator danych osobowych występuje gmina, a Pana firma jest procesorem. W związku z tym jedynym obowiązkiem jest zawarcie umowy powierzenia przetwarzania danych osobowych. Pozdrawiamy!

  6. Grzegorz

    Dzień dobry,
    w ramach prowadzonej działalności gospodarczej raz w miesiącu, na podstawie umowy zawartej z Klientem, sprzedajemy i wysyłamy pakiety towarów. Czy dobrze rozumem, że Klient musi wyrazić zgodę na przekazanie jego danych osobowych dla konkretnych firm: dostarczającej przesyłki i księgowej, wystawiającej faktury? Z tymi podmiotami podpiszemy umowy o powierzeniu przetwarzania danych. Co w przypadku zmiany firmy kurierskiej, z której usług korzystamy? Co w przypadku realizacji przesyłek za pośrednictwem firm oferujących usługi wielu firm kurierskich (wybieramy najkorzystniejszą ofertę)? Z kim mamy podpisać umowę na przetwarzanie danych i jaką zgodę musi wyrazić nasz Klient?

    Pozdrawiam, Grzegorz

    1. Kancelaria Lex Artist

      Dzień dobry. Państwa Klient nie musi wyrażać zgody na przekazanie jego danych osobowych do firmy kurierskiej, ani do księgowej. Jeżeli chodzi o księgowość, to wystarczającym jest zawarcie umowy powierzenia przetwarzania danych osobowych (na takie działanie nie jest wymagana zgoda Klienta, ponieważ to nadal Państwo pozostają administratorami danych osobowych Klienta). W przypadku firm kurierskich przyjmujemy z kolei, iż mamy do czynienia nie z powierzeniem, lecz z udostępnieniem danych osobowych (obecnie na podstawie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych – prawnie usprawiedliwiony cel). Wówczas odpada problem zawierania ciągle nowych umów powierzenia. Klient nie musi wówczas również wyrażać zgody. Państwa obowiązkiem jest poinformowanie Klienta, że jego dane będą udostępnione do firm kurierskich oraz w jakim celu. Pozdrawiamy!

  7. Grzegorz

    Dzień dobry,
    Bardzo dziękuję za odpowiedź.
    Przepraszam, ale w pytaniu nie zaznaczyłem, że dotyczy ono przygotowania do wejścia w życie RODO.
    Czy zasady opisane w Państwa odpowiedzi będą obowiązywały po 25.05.2018? Czy “prawnie usprawiedliwiony cel” nie jest w sprzeczności w RODO?

    Pozdrawiam,
    Grzegorz

    1. Kancelaria Lex Artist

      Na gruncie RODO “prawnie usprawiedliwiony cel” zostaje przekształcony w “prawnie uzasadniony interes” (art. 6 ust. 1 lit. f RODO). Dodatkowym wymogiem, jaki nakłada RODO to wskazanie w klauzuli informacyjnej, jaki jest prawnie uzasadniony interes realizowany przez administratora danych (np. dostarczanie przesyłek klientom). Pozdrawiamy!

Zostaw odpowiedź