Powierzenie a udostępnianie danych osobowych

Przepisy przedmiotowego rozporządzenia mają co do zasady na celu ochronę osób fizycznych w związku z przetwarzaniem danych osobowych poprzez wdrożenie skutecznych reguł i systemów ochrony danych przez przedsiębiorstwo przetwarzające dane.

Co w przypadku, gdy zachodzi konieczność przekazania danych osobowych przetwarzanych przez jednego przedsiębiorcę do drugiego (np. kontrahentowi, z którym podjął współpracę)? Czy wówczas koniecznie będzie powierzenie przetwarzania danych na podstawie np. umowy czy wystarczy wyłącznie udostępnić takie dane?

Na powyższe pytania znajdziesz odpowiedź w niniejszym artykule.

Przetwarzanie danych osobowych – definicja

Zgonie z art. 4 pkt 2 RODO poprzez przetwarzanie należy rozumieć operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Tym samym przetwarzaniem jest:

• operacja lub zestaw operacji,
• czynności operacyjne muszą być wykonywane na danych osobowych lub zestawach danych osobowych,
• operacje muszą następować w sposób zautomatyzowany lub niezautomatyzowany.

Podmioty występujące w procesie przekazywania danych

Administrator

• w przepisie art. 4 ust. 7 RODO wskazano m.in., że administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Podmiot przetwarzający

• zgodnie z definicją legalną zawartą w art. 4 pkt 8 RODO podmiotem przetwarzającym może być osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

A czym jest zatem powierzenie przetwarzania danych?

Z przepisu art. 28 ust 1. RODO wynika, że administrator danych osobowych może powierzyć przetwarzanie danych innemu (wybranemu) podmiotowi.

W szczególności przepis ten stanowi, iż Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

Z powyższej regulacji wynika, że powierzenie przetwarzania jest zlecane przez administratora wybranemu profesjonalnemu podmiotowi w zakresie dokonania określonych czynności przetwarzania. Działania te są podejmowane przez podmiot przetwarzający w imieniu i na rzecz administratora.

Tym samym powierzenie jest niczym innym jak zleceniem przetwarzania danych osobowych, co do zasady profesjonalnemu podmiotowi.

Więcej o przetwarzaniu danych osobowych, a przede wszystkim o samej umowie przetwarzania danych przeczytacie tutaj1.

Udostępnianie danych osobowych – definicja

Czynność związana z udostępnianiem danych osobowych nie została zdefiniowana w RODO, jednakże często ustawodawca odnosi się do tegoż działania w regulacjach. Przykładowo w powołanym wcześniej przepisie art. 4 pkt 2 RODO określającym znaczenie pojęcia przetwarzania danych wskazano, iż przetwarzaniem są operacje lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany taką jak m.in. innego rodzaju udostępnianie.

 

Za czynność udostępniania danych osobowych należy zatem uznać przekazanie danych do innego podmiotu, występującego wówczas w roli administratora danych, który będzie samodzielnie lub wspólnie z innymi ustalać cele i sposoby przetwarzania danych osobowych.

Podstawa prawna udostępniania danych

Przepis art. 6 RODO sformułuje podstawy prawnych przetwarzania danych osobowych, czyli wskazanie sytuacji, w których dokonywanie operacji na danych osobowych będzie dopuszczalne.

Odnosząc się tylko poglądowo do ustępu 1 komentowanego przepisu wskazano tzw. ogólne podstawy dopuszczalności przetwarzania danych, tj.:

• zgodę osoby, której dane dotyczą;
• wykonanie umowy;
• wypełnienie obowiązku prawnego ciążącego na administratorze;
• ochronę żywotnych interesów osoby, której dane dotyczą, lub innej osoby;
• wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej;
• prawnie uzasadnione interesy administratora lub strony trzeciej.

W piśmiennictwie wskazuje się, że Określone w komentowanym przepisie przesłanki mają charakter samoistny, autonomiczny i niezależny, tzn. dla uznania przetwarzania danych za prawnie dopuszczalne wystarczy istnienie jednej z nich2.

WAŻNE:

• Podmioty sektora prywatnego mogą opierać udostępnianie danych osobowych na dowolnej z podstaw prawnych przetwarzania danych spośród wymienionych w art. 6 i 9 RODO;
• Zgoda na przetwarzanie danych osobowych powinna spełniać cechę konkretności i świadomości. Z kolei osoba, której dane dotyczą, musi zostać poinformowana o odbiorcach danych (por. art. 13 RODO);
• Administrator udostępniający dane osobowe musi legitymować się podstawą prawną do udostępnienia danych, podczas gdy administrator zbierający w ten sposób dane osobowe musi dysponować podstawą prawną pozwalającą mu na przetwarzanie otrzymanych danych3.

Procedura udostępniania danych

W przepisach RODO brak jest uregulowanej procedury udostępniania danych osobowych, co oznacza, iż nie istnieją żadne prawne wymagania co do formy lub treści wniosku (pisma) o udostępnienie danych osobowych.

W piśmiennictwie jednak wskazuje się, że zalecane jest jednak sporządzanie co najmniej protokołu udostępnienia danych osobowych, a w miarę możliwości także odpowiedniej umowy, która będzie precyzowała zasady odpowiedzialności stron4.

Umowa a udostępnianie danych

W przypadku gdy wykonanie umowy będzie wymagało udostępnienia danych osobowych innemu administratorowi, to podstawę prawną przetwarzania danych polegającego na ich udostępnieniu będzie stanowił przepis art. 6 RODO.

Podsumowanie

Z analizy przepisów RODO wynika, że udostępnianie danych jest jedną z postaci przetwarzania danych osobowych. Nie ma jednak w przepisach szczególnej regulacji dla czynności udostępniania danych osobowych.

Zasadniczymi różnicami pomiędzy powierzeniem a udostępnianiem danych osobowych są:

• osoba odbiorcy danych:

• inny administrator (udostępnienie);
• podmiot przetwarzający (powierzenie);

• podstawa przekazania:

• zazwyczaj jedna z przesłanek z przepisu art. 6 ust. 1 (udostępnienie);
• umowa powierzenia przetwarzania danych osobowych lub inny instrument prawny (powierzenie).