Czym się różni powierzenie od udostępnienia danych? To pytanie wraca do mnie regularnie przy audytach i wdrożeniach RODO – zwykle wtedy, gdy „coś już poszło nie tak”. W praktyce bardzo często słyszę: „przecież oni tylko mają dostęp do danych” albo „to jest nasz podwykonawca, więc to chyba powierzenie”. I właśnie w tym miejscu zaczynają się realne problemy.
Różnica między powierzeniem a udostępnieniem danych osobowych nie jest akademicka. Jest kluczowa z punktu widzenia art. 28 RODO, bo to on przesądza, czy w ogóle wolno przekazać dane innemu podmiotowi i na jakich zasadach. Powierzenie oznacza, że jeden podmiot – procesor – przetwarza dane wyłącznie na polecenie administratora, w jego imieniu i w określonym celu. Nie decyduje samodzielnie o tym, „po co” i „jak długo” dane są przetwarzane. Realizuje usługę: księgową, IT, hostingową, kadrową, medyczną, marketingową. I to właśnie dlatego powierzenie musi być uregulowane umową lub innym instrumentem prawnym w formie pisemnej, zgodnie z art. 28 ust. 3 RODO. Bez tego powierzenie… po prostu nie istnieje w sensie prawnym.
Udostępnienie to zupełnie inna sytuacja. Dane trafiają do innego administratora, który samodzielnie decyduje o celach i sposobach przetwarzania. Tu nie ma mowy o działaniu „na polecenie”. Każda ze stron odpowiada za swoje przetwarzanie, a podstawą jest najczęściej przepis prawa, zgoda lub inna przesłanka z art. 6 RODO. Wbrew pozorom wiele relacji, które organizacje „intuicyjnie” traktują jako powierzenie, w rzeczywistości jest udostępnieniem i odwrotnie.
Z perspektywy praktyki kontrolnej jedno jest szczególnie istotne: brak umowy powierzenia to jeden z najczęstszych powodów zakwestionowania legalności przetwarzania przez UODO. I co ważne — nie mówimy tu o sytuacjach incydentalnych czy marginalnych. Coraz częściej w decyzjach i wystąpieniach pokontrolnych widać, że organ nie traktuje braku art. 28 jako „uchybienia formalnego”, tylko jako realne naruszenie zasad RODO. Administratorzy często są zaskoczeni, że dobra umowa handlowa, NDA albo zapis w regulaminie nie wystarczają. Jeśli dokument nie spełnia wymogów art. 28, to z punktu widzenia RODO powierzenia nie ma.
Dlatego rozróżnienie powierzenia i udostępnienia nie jest detalem dla prawników, tylko fundamentem bezpiecznego przetwarzania danych. To jedna z tych rzeczy, które „działają latami” aż do pierwszej kontroli albo naruszenia. I wtedy okazuje się, że problemem nie jest sam incydent, ale to, że nigdy nie było prawidłowej podstawy prawnej przetwarzania danych przez podmiot trzeci.
Spis treści
Powierzenie przetwarzania danych - czym jest?
Istota powierzenia przetwarzania danych osobowych jest ściśle powiązania z pojęciem outsourcingu, zazwyczaj są to usługi informatyków, prawników, księgowych, etc. Podmiotu przetwarzającego przetwarza dane w imieniu administratora, czyli administrator określa cel i sposób przetwarzania. RODO wskazuje wprost, iż to administrator ustala cele i sposoby przetwarzania danych osobowych. Podstawową cechą powierzenia przetwarzania danych osobowych, jest to, że podmiot przetwarzający nie posiada pełnej swobody w zakresie działań podejmowanych na danych osobowych otrzymanych od administratora, podejmuje on swoje działania na danych osobowych dopiero po tym jak sam administrator określi cel jak i sposób ich przetwarzania. Wszelkie czynności podejmowane przez podmiot zewnętrzny wykonywane są w imieniu i na rzecz administratora danych, na którego polecenie działa.
Umowa powierzenia reguluje relacje pomiędzy administratorem i podmiotem przetwarzającym. Minimalny zakres umowy regule art. 28 ust. 3 RODO. Umowa więc musi zawierać: przedmiot przetwarzania, czas trwania przetwarzania, charakterze przetwarzania, cel przetwarzania, rodzaj danych osobowych kategorię osób, których dane dotyczą oraz obowiązki i prawa administratora. Obligatoryjne obowiązki podmiotu przetwarzającego wymienia art. 28 ust. 3 lit. a-h RODO.
Czym są dane osobowe?
Punktem wyjścia do prawidłowego rozróżnienia ról jest ustalenie, czy w ogóle mamy do czynienia z danymi osobowymi. Zgodnie z art. 4 RODO, dane osobowe to informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, a więc wszelkie informacje, które pozwalają na bezpośrednią lub pośrednią identyfikację konkretnego człowieka. Dopiero w odniesieniu do tak rozumianych danych możliwe jest dalsze przypisanie ról administratora lub podmiotu przetwarzającego.
Na tym etapie kluczowe staje się ustalenie władztwa decyzyjnego nad danymi osobowymi. Rozróżnienie ról nie wynika z nazwy umowy ani z faktu świadczenia określonej usługi, lecz z odpowiedzi na pytanie, kto podejmuje decyzję prowadzącą do określonego efektu związanego z przetwarzaniem danych osobowych. Ten podmiot, który decyduje o sensie, granicach i skutkach przetwarzania danych osobowych w rozumieniu art. 4 RODO, występuje w roli administratora danych. Podmiot, który jedynie realizuje te decyzje w imieniu administratora, bez samodzielnej decyzyjności co do celu i efektu przetwarzania, jest podmiotem przetwarzającym.
Przykłady danych osobowych mogą obejmować:
Dane osobowe zwykłe
Do danych osobowych zwykłych zalicza się wszelkie informacje umożliwiające bezpośrednią lub pośrednią identyfikację osoby fizycznej, które nie należą do szczególnych kategorii danych w rozumieniu RODO, w szczególności:
- imię i nazwisko,
- adres zamieszkania lub adres korespondencyjny,
- adres poczty elektronicznej (w tym służbowy, jeżeli pozwala na identyfikację osoby fizycznej),
- numer telefonu,
- numer PESEL, numer dowodu osobistego lub paszportu,
- data i miejsce urodzenia,
- dane dotyczące zatrudnienia (np. stanowisko, zakres obowiązków, historia zatrudnienia),
- dane finansowe przypisane do osoby fizycznej (np. numer rachunku bankowego, dane dotyczące wynagrodzenia),
- dane identyfikacyjne online, takie jak adres IP, identyfikatory cookies, identyfikatory urządzeń,
- wizerunek osoby fizycznej (zdjęcia, nagrania wideo),
- dane lokalizacyjne.
- Dane osobowe wrażliwe (szczególnych kategorii)
Dane osobowe wrażliwe (szczególnych kategorii)
Dane osobowe wrażliwe, określane w RODO jako szczególne kategorie danych, to informacje, których przetwarzanie co do zasady jest zakazane, chyba że spełniona zostanie jedna z przesłanek wskazanych w przepisach, w szczególności:
dane dotyczące zdrowia, w tym informacje o stanie fizycznym lub psychicznym, diagnozach, leczeniu,
dane ujawniające pochodzenie rasowe lub etniczne,
dane ujawniające poglądy polityczne,
dane ujawniające przekonania religijne lub światopoglądowe,
dane dotyczące przynależności do związków zawodowych,
dane genetyczne,
dane biometryczne przetwarzane w celu jednoznacznej identyfikacji osoby fizycznej,
dane dotyczące życia seksualnego lub orientacji seksualnej.
Należy więc rozróżnić:
- Powierzenia przetwarzania danych podmiotowi przetwarzającemu.
- Udostępnienie danych odrębnemu administratorowi.
Jak rozróżnić podmiot przetwarzającego od administratora ?
Aby rozróżnić administratora danych od podmiotu przetwarzającego, kluczowe znaczenie ma ustalenie, kto faktycznie podejmuje decyzje dotyczące celu i sposobów przetwarzania danych osobowych – a nie to, jak strony nazwały swoją relację.
Administrator danych to podmiot, który samodzielnie decyduje o tym, po co dane osobowe są przetwarzane (cel) oraz w jaki sposób to przetwarzanie ma się odbywać (sposoby). To administrator rozstrzyga, jaki efekt ma zostać osiągnięty dzięki przetwarzaniu danych osobowych oraz jakie środki – organizacyjne i techniczne – są do tego niezbędne.
Podmiot przetwarzający (procesor) działa natomiast na zlecenie administratora i wyłącznie w granicach wyznaczonych przez jego decyzje. Nie ustala on własnego celu przetwarzania danych osobowych, lecz realizuje czynności przetwarzania w celu określonym przez administratora, zgodnie z jego instrukcjami co do sposobu przetwarzania.
Dlatego, aby prawidłowo przypisać role, należy zadać jedno zasadnicze pytanie: kto podejmuje decyzje co do celu przetwarzania danych osobowych oraz sposobów, jakimi to przetwarzanie się odbywa.
Jeżeli decyzje te podejmuje dany podmiot – występuje on w roli administratora danych. Jeżeli natomiast jedynie wykonuje te decyzje w imieniu innego podmiotu – jest podmiotem przetwarzającym.
Jak rozróżnić podmiot przetwarzającego od administratora ?
Aby prawidłowo rozróżnić administratora danych od podmiotu przetwarzającego, nie wolno zaczynać od nazwy umowy ani od tego, „kto komu zlecił usługę”. Kluczowe jest ustalenie władztwa decyzyjnego nad danymi – czyli kto faktycznie podejmuje decyzje o sensie, granicach i skutkach przetwarzania.
Rozróżnienie zawsze zaczyna się od celu przetwarzania, rozumianego jako podjęcie decyzji prowadzącej do określonego efektu związanego z danymi osobowymi. Ten podmiot, który samodzielnie decyduje, po co dane są przetwarzane i jaki efekt ma zostać osiągnięty, jest administratorem danych. Podmiot, który realizuje technicznie lub organizacyjnie te decyzje, bez własnej swobody decyzyjnej – jest podmiotem przetwarzającym.
Udostępnienie danych - czym jest?
Udostępnienie danych jest jedną z form przetwarzania danych osobowych, (art. 4 ust. 2 RODO). Udostępnienie danych zachodzi wtedy, gdy dane przekazywane są pomiędzy dwoma podmiotami samodzielnie decydującymi o celach i środkach przetwarzania danych osobowych – czyli między dwoma administratorami.
W kwestii dokumentacji o udostępnienie danych, przepisy RODO, ani u.o.d.o. nie zawierają konieczności zawierania pisemnej umowy. Stosowanie jednak umów o udostępnienie danych nie jest sprzeczne z przepisanie o ochronie danych, ale jest całkowicie dopuszczalne na gruncie zasady swobody umów wyrażonej w Kodeksie cywilnym.
Udostępnienie, a powierzenie - Umówienie w praktyce
Przetwarzanie danych w związku z wykonaniem umowy
Zawierając umowę z podwykonawcą, często przetwarzamy dane osobowe jego pracowników, takich jak kierownicy budowy, koordynatorzy czy osoby odpowiedzialne za kontakt. Jeżeli dane te są przetwarzane dlatego, że jest to niezbędne do wykonania umowy, np. do koordynacji prac, komunikacji operacyjnej czy nadzoru nad realizacją zlecenia, podstawą prawną jest art. 6 ust. 1 lit. b RODO. W takiej sytuacji samodzielnie decydujemy o celu i sposobach przetwarzania, a więc występujemy w roli administratora danych osobowych.
Przetwarzanie danych w celu zabezpieczenia roszczeń
Jeżeli dane osobowe pracowników podwykonawcy są przetwarzane w celu dochodzenia roszczeń lub obrony przed roszczeniami, np. w przypadku nienależytego wykonania umowy, podstawą prawną jest prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO). Również w tym przypadku to my decydujemy, po co dane są przetwarzane, jak długo oraz kto ma do nich dostęp, co oznacza, że administrujemy tym przetwarzaniem danych.
Udostępnienie danych a nie powierzenie
W opisanych wyżej sytuacjach nie dochodzi do powierzenia przetwarzania danych osobowych. Dane są nam udostępniane, ponieważ każda ze stron przetwarza je we własnym celu i na własnej podstawie prawnej. Brak jest elementu działania „w imieniu” drugiej strony, który jest kluczowy dla uznania relacji za powierzenie.
Kiedy mamy do czynienia z powierzeniem przetwarzania danych
Do powierzenia przetwarzania dochodzi wyłącznie wtedy, gdy jeden podmiot przetwarza dane osobowe w imieniu administratora i wyłącznie na jego udokumentowane polecenie, bez własnej decyzyjności co do celu przetwarzania.
Przykłady powierzenia przetwarzania danych osobowych:
- biuro rachunkowe przetwarzające dane pracowników i kontrahentów klienta wyłącznie w celu prowadzenia księgowości,
- firma IT utrzymująca serwery lub systemy informatyczne, w których przetwarzane są dane osobowe administratora,
- dostawca systemu kadrowo-płacowego działający zgodnie z instrukcjami administratora,
- firma hostingowa przechowująca dane osobowe na rzecz administratora.
W tych przypadkach procesor nie realizuje własnego celu, a jedynie technicznie lub organizacyjnie wykonuje operacje na danych w interesie administratora, co wymaga zawarcia umowy powierzenia przetwarzania danych osobowych.
3 wskazówki jak odróżnić administratora od pomiotu przetwarzającego:
- Kontrola nad przetwarzanymi danymi wynikająca z wyraźnych kompetencji prawnych. Jeśli przepisy prawa nakładają na określony podmiot obowiązek gromadzenia określonego zakresu danych osobowych, wtedy należy uznać go za odrębnego administratora.
- Kontrola nad przetwarzanymi danymi wynikająca z dorozumianej kompetencji. Przepis nie określa wprost roli administratora, nie wskazuje na obowiązek gromadzenia danych. Rola podmiotu jako administratora może jednak wynikać wówczas z pewnej utrwalonej praktyki np. pracodawca w odniesieniu do danych dotyczących jego pracowników czy stowarzyszenie w odniesieniu do danych dotyczących jego członków lub osób wspierających.
- Kontrola nad przetwarzaniem danych wynikająca z faktycznego wpływu. Należy przeanalizować oceny stosunków umownych zachodzących pomiędzy podmiotami występującymi w procesie przetwarzania danych osobowych. Podmiotu, który nie ma prawnej ani faktycznej kontroli nad określaniem celu i sposobu przetwarzania danych osobowych, nie można uważać za administratora danych.
