Powierzenie danych osobowych a ich udostępnienie – różnice w procedurach

Ustalenie, czy mamy do czynienia z powierzeniem czy z udostępnieniem danych osobowych, stanowi bardzo istotne zadanie z punktu widzenia administratora danych. Jeżeli uzna on, iż w danej sytuacji dochodzi do powierzenia przetwarzania danych, konieczne będzie co do zasady zawarcie z podmiotem przetwarzającym stosownej umowy, tj. umowy powierzenia przetwarzania danych. Oprócz zawarcia umowy, powierzenie przetwarzania jest możliwe także w przypadku powierzenia danych przez administratora na podstawie innego instrumentu prawnego (np. aktu prawnego, uchwały organu uchwałodawczego jednostki samorządu terytorialnego).

Istota przetwarzania

Jeżeli dany podmiot będzie przetwarzał dane w imieniu administratora, wówczas mówi się o powierzeniu przetwarzania danych przez administratora. Podmiot przetwarzający nie będzie bowiem nigdy samodzielnie decydował o celach i sposobach przetwarzania danych. Będzie działał na zlecenie administratora. Administrator podejmuje więc świadomą decyzję, że określone zadania powierzy podmiotowi trzeciemu (wyspecjalizowanemu w jakimś obszarze). Dzięki temu administrator będzie mógł swoje zasoby przeznaczyć na wykonywanie innych czynności.

Jeżeli więc administrator zdecyduje się powierzyć wykonanie czynności podmiotowi trzeciemu i dodatkowo będzie się to wiązało z powierzeniem przetwarzania danych osobowych, administrator musi dopełnić obowiązków wynikających z RODO. Przede wszystkim może on skorzystać z usług wyłącznie takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Odpowiedzialność za wybór odpowiedniego podmiotu ponosi więc administrator.

Kolejnym etapem będzie albo zawarcie umowy powierzenia przetwarzania danych albo skorzystanie z innego instrumentu prawnego. Umowa ta bądź inny instrument prawny powinny określać przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Podmiot przetwarzający nie może więc działać samodzielnie, jeżeli chodzi o podejmowanie działań w zakresie powierzonych mu danych osobowych.

Ważne jest, że aby dany podmiot uznać za podmiot przetwarzający, musi to być podmiot odrębny i organizacyjnie niezależny od administratora. Podmiotem przetwarzającym nie będzie więc np. pracownik administratora.

Podmiotem przetwarzającym będzie natomiast przykładowo podmiot zajmujący się niszczeniem dokumentów, dostarczaniem usług w chmurze czy windykowaniem należności.

Istota udostępnienia danych

Jeżeli natomiast jeden administrator przekaże dane innemu podmiotowi, który to podmiot będzie ustalał cele i sposoby przetwarzania danych samodzielnie bądź wspólnie z administratorem „przekazującym”, wówczas będziemy mieli do czynienia z udostępnieniem danych. Będzie więc to relacja pomiędzy dwoma administratorami danych.

W...

Dalsza część jest dostępna dla użytkowników z wykupionym planem