Spis treści
Powierzenie przetwarzania danych - co to jest?
Istota powierzenia przetwarzania danych osobowych jest ściśle powiązania z pojęciem outsourcingu, zazwyczaj są to usługi informatyków, prawników, księgowych, etc. Podmiotu przetwarzającego przetwarza dane w imieniu administratora, czyli administrator określa cel i sposób przetwarzania. RODO wskazuje wprost, iż to administrator ustala cele i sposoby przetwarzania danych osobowych. Podstawową cechą powierzenia przetwarzania danych osobowych, jest to, że podmiot przetwarzający nie posiada pełnej swobody w zakresie działań podejmowanych na danych osobowych otrzymanych od administratora, podejmuje on swoje działania na danych osobowych dopiero po tym jak sam administrator określi cel jak i sposób ich przetwarzania. Wszelkie czynności podejmowane przez podmiot zewnętrzny wykonywane są w imieniu i na rzecz administratora danych, na którego polecenie działa.
Umowa powierzenia reguluje relacje pomiędzy administratorem i podmiotem przetwarzającym. Minimalny zakres umowy regule art. 28 ust. 3 RODO. Umowa więc musi zawierać: przedmiot przetwarzania, czas trwania przetwarzania, charakterze przetwarzania, cel przetwarzania, rodzaj danych osobowych kategorię osób, których dane dotyczą oraz obowiązki i prawa administratora. Obligatoryjne obowiązki podmiotu przetwarzającego wymienia art. 28 ust. 3 lit. a-h RODO.
Czym są dane osobowe?
Dane osobowe to informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Oznacza to, że dane osobowe obejmują wszelkie informacje, które pozwalają zidentyfikować konkretnego człowieka bezpośrednio lub pośrednio.
Przykłady danych osobowych mogą obejmować:
Dane identyfikacyjne: Takie jak imię, nazwisko, numer identyfikacyjny, data urodzenia, numer PESEL, numer dowodu osobistego, adres zamieszkania itp.
Dane kontaktowe: Takie jak numer telefonu, adres e-mail, adres zamieszkania itp.
Dane finansowe: Takie jak numer konta bankowego, informacje o płatnościach, dane karty kredytowej itp.
Dane zawodowe: Takie jak stanowisko pracy, nazwa firmy, adres biura, informacje dotyczące kariery zawodowej itp.
Dane medyczne: Takie jak informacje o zdrowiu, historii chorób, wyniki badań medycznych itp.
Dane geolokalizacyjne: Takie jak informacje o położeniu geograficznym osoby na podstawie danych GPS lub innych technologii lokalizacyjnych.
Należy więc rozróżnić:
- Powierzenia przetwarzania danych podmiotowi przetwarzającemu.
- Udostępnienie danych odrębnemu administratorowi.
Jak rozróżnić podmiot przetwarzającego od administratora ?
- Administrator decyduje o celach i sposobach przetwarzania danych osobowych.
- Podmiot przetwarzający działa na zlecenie administratora, to administrator określa cel i sposób przetwarzania danych.
Należy więc zadać pytanie to podejmuje decyzje co do celu przetwarzania danych osobowych oraz sposobów, jakimi się ono odbywa.
Jak rozróżnić podmiot przetwarzającego od administratora ?
Sposób: Czyje dane będą przetwarzania, przez jaki czas, jakie dane będą przetwarzane, kto może mieć dostęp do tych danych ?
Cel: Podjęcie decyzji dotyczącej pewnego efektu związanego z przetwarzaniem danych osobowych.
Udostępnienie danych - co to jest?
Udostępnienie danych jest jedną z form przetwarzania danych osobowych, (art. 4 ust. 2 RODO). Udostępnienie danych zachodzi wtedy, gdy dane przekazywane są pomiędzy dwoma podmiotami samodzielnie decydującymi o celach i środkach przetwarzania danych osobowych – czyli między dwoma administratorami.
W kwestii dokumentacji o udostępnienie danych, przepisy RODO, ani u.o.d.o. nie zawierają konieczności zawierania pisemnej umowy. Stosowanie jednak umów o udostępnienie danych nie jest sprzeczne z przepisanie o ochronie danych, ale jest całkowicie dopuszczalne na gruncie zasady swobody umów wyrażonej w Kodeksie cywilnym.
Podsumowanie
Jeżeli podmiot przetwarzający będzie miał wpływ na określenie celów lub wykorzystywać będzie dane osobowe dla osiągnięcia własnych celów, co do zasady powinien on zostać uznany za odrębnego administratora danych.
Przykład
Jeśli przykładowo zawierając umowę z podwykonawcą przetwarzamy dane osobowe – jego pracowników np. kierowników budowy.
Jeśli musimy dane przetwarzać, ponieważ jest to niezbędne do wykonania umowy (art. 6 ust. 1 lit. b RODO), bądź przetwarzamy dane osobowe od (podwykonawcy, który jest administratorem tych danych) w celu niezbędne do celów wynikających z prawnie uzasadnionych interesów (art. 6 ust. 1 lit. f) np. roszczeń prawnych, gdyby podwykonawca nieprawidłowo wykonał zlecone zadanie – administrujemy to przetwarzanie danych – jesteśmy więc administratorem, a nie podmiotem przetwarzającym. W skrócie dopóki, znajdziemy przesłanki, które dzięki którym decydujemy o celu i sposobie przetwarzania i mamy na to podstawę prawną (to samo się tyczy naszego podwykonawcy). Nie jesteśmy podmiotem przetwarzającym, a administratorem = nie powierza się nam przetwarzania danych, lecz udostępnia się nam dane.
3 wskazówki jak odróżnić administratora od pomiotu przetwarzającego:
- Kontrola nad przetwarzanymi danymi wynikająca z wyraźnych kompetencji prawnych. Jeśli przepisy prawa nakładają na określony podmiot obowiązek gromadzenia określonego zakresu danych osobowych, wtedy należy uznać go za odrębnego administratora.
- Kontrola nad przetwarzanymi danymi wynikająca z dorozumianej kompetencji. Przepis nie określa wprost roli administratora, nie wskazuje na obowiązek gromadzenia danych. Rola podmiotu jako administratora może jednak wynikać wówczas z pewnej utrwalonej praktyki np. pracodawca w odniesieniu do danych dotyczących jego pracowników czy stowarzyszenie w odniesieniu do danych dotyczących jego członków lub osób wspierających.
- Kontrola nad przetwarzaniem danych wynikająca z faktycznego wpływu. Należy przeanalizować oceny stosunków umownych zachodzących pomiędzy podmiotami występującymi w procesie przetwarzania danych osobowych. Podmiotu, który nie ma prawnej ani faktycznej kontroli nad określaniem celu i sposobu przetwarzania danych osobowych, nie można uważać za administratora danych.
Sprawdź:
Sprawdź naszą ofertę!
Masz pytanie?
Napisz do nas
O nas
Uważamy, że odpowiednio wdrożone RODO, może posłużyć jako narzędzie wpływające korzystnie na rozwój, postrzeganie oraz reputację firmy. Naszym celem jest zapewnienie prawidłowego przetwarzania, obiegu, archiwizowania oraz dostępu do danych zgodnie z aktualnymi wymogami.