fbpx
,

Udostępnianie czy powierzenie przetwarzania, czyli jak należy postępować z danymi osobowymi?

Ochrona danych osobowych jest jedną z podstawowych kwestii, o którą należy zadbać prowadząc działalność gospodarczą w jakiejkolwiek formie. W dalszym ciągu w praktyce obrotu pojawiają się wątpliwości w jaki sposób należy postępować z danymi osobowymi zgodnie z przepisami RODO.

Choć od wejścia w życie RODO, czyli rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) minęło już niemal 3 lata w dalszym ciągu pojawiają się problemy z prawidłowym jego stosowaniem. Jednym z zagadnień, które w praktyce przysparza uczestnikom obrotu gospodarczego największe kłopoty, pojawiającym się w momencie, w którym dane osobowe są przekazywane innemu podmiotowi jest rozróżnienie dwóch operacji, które mogą być przeprowadzane na danych osobowych, a mianowicie udostępnianie danych osobowych oraz powierzenie przetwarzania danych osobowych, a co za tym idzie – ich niewłaściwe stosowanie. 

Punktem wyjścia dla określenia prawidłowej metody postępowania z danymi osobowymi jest określenie podmiotów, które występują w procesie ich przekazywania: 

  1. administrator – jest to podmiot, który określa cele i sposoby przetwarzania danych osobowych, a zatem ma faktyczny wpływ na to co dzieje się z danymi osobowymi znajdującymi się w jego posiadaniu; 
  1. podmiot przetwarzający (procesor) – jest to podmiot odrębny i organizacyjnie niezależny od administratora, który przetwarza dane osobowe w imieniu administratora, zaś jego prawa i obowiązki określa umowa powierzenia danych osobowych zawarta z administratorem.  

 Udostępnianie, czyli jedna z form przetwarzania  

Udostępnianie danych osobowych jest jedną z form przetwarzania danych osobowych, o czym stanowi definicja przetwarzania (art. 4 pkt 2 RODO), zgodnie z którą przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Z udostępnianiem danych osobowych mamy zatem do czynienia w przypadku przekazania danych do odrębnego podmiotu (administratora), który samodzielnie będzie decydował o celach i sposobach ich przetwarzania, a skutkiem udostępnienia jest utrata kontroli nad danymi osobowymi. 

W praktyce do udostępnienia będzie dochodziło najczęściej w przypadku zawierania umów. W momencie zawierania umowy dochodzi do udostępnienia w zakresie danych osobowych osób reprezentujących strony (najczęściej członkowie zarządu lub innego organu uprawnionego do reprezentacji), ale także danych osobowych osób odpowiedzialnych za realizację umowy po każdej stronie (pracowników lub współpracowników). Na skutek udostępnienia każda ze stron staje się administratorem danych jej udostępnionych i samodzielnie decyduje o sposobie ich przetwarzania.  

Przykład: Spółka A (jako inwestor) zawiera ze spółką B (jako wykonawcą) umowę o wykonanie remontu. Na skutek zawarcia umowy dochodzi do wzajemnego udostępnienia danych osobowych pracowników obu stron w zakresie ich imienia, nazwiska i służbowego numeru telefonu. Każda spółka samodzielnie decyduje kiedy skontaktować się z pracownikiem drugiej ze spółek w sprawach związanych z realizacją umowy, a zatem nie działa w imieniu administratora, gdyż sama stała się administratorem udostępnionych jej danych. 

Aby udostępnienie było zgodne z RODO podmiot, który udostępnia dane osobowe powinien: (i) posiadać podstawę prawną do ich udostępnienie, (ii) wypełnić obowiązek informacyjny z art. 13 RODO oraz (iii) udostępnić dane osobowe w sposób zapewniający ich bezpieczeństwo. Z kolei podmiot, któremu są udostępniane dane osobowe powinien: (i) posiadać podstawę prawną do ich przetwarzania oraz (ii) wypełnić obowiązek informacyjny z art. 14 RODO. 

Powierzenie przetwarzania, czyli administrator utrzymuje kontrolę 

Powierzenie przetwarzania stanowi formę umocowania innego podmiotu (procesora) przez administratora danych osobowych do ich przetwarzania. Przetwarzania odbywa się w takiej sytuacji w imieniu i na rzecz administratora oraz na zasadach przez niego określonych – nie dochodzi zatem do utraty przez administratora kontroli nad danymi osobowymi, zaś procesor nie może samodzielnie decydować o celach i sposobach ich przetwarzania. Administrator powinien korzystać wyłącznie z usług takich procesorów, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą, a zatem w tym zakresie odpowiedzialność ciąży na administratorze.  

Co do zasady powierzenie przetwarzania danych osobowych odbywa się na podstawie umowy zawartej przez administratora i podmiot przetwarzający, która określa przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora, a ponadto zawiera elementy, o których mowa w art. 28 ust. 3 RODO. 

Przykład: Do powierzenia przetwarzania dochodzi najczęściej w przypadku korzystania z outsourcingu usług np. w zakresie obsługi kadrowo-księgowej przedsiębiorstwa, kiedy to pracodawca powierza przetwarzanie danych osobowych swoich pracowników innemu podmiotowi, który będzie realizował na jego wyraźne polecenie i w jego imieniu obowiązki związane z zatrudnieniem. 

Poza zawarciem umowy powierzenia przetwarzania danych osobowych, celem zapewnienia zgodności z RODO powierzenia przetwarzania administrator powinien: (i) posiadać podstawę prawną do przetwarzania danych osobowych, (ii) wypełnić obowiązek informacyjny z art. 13 RODO oraz (iii) przekazać dane osobowe w sposób zapewniający ich bezpieczeństwo, z kolei procesor powinien prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, o którym mowa w art. 30 ust. 2 RODO. 

Podsumowanie 

Prawidłowe zidentyfikowanie oraz zastosowanie formy przekazywania danych osobowych ma zatem kluczowe znaczenie dla zapewnienia zgodności ich przekazywania z przepisami RODO, przede wszystkim w zakresie określenia obowiązków z tym związanych. Dlatego też ważne jest, aby każdy przypadek przekazywania danych osobowych „na zewnątrz” poddać odrębnej analizie. 

Aplikant radcowski Mateusz Wita