Sprawdź, jak udokumentować powierzenie przetwarzania danych a jak ich udostępnianie

Paweł Biały

Autor: Paweł Biały

Dodano: 11 lipca 2018
upoważnienie

Dane osobowe można zarówno udostępnić, jak i powierzyć ich przetwarzanie. Niestety dość często administratorzy danych osobowych używają sformułowania „udostępniam dane osobowe” nazywając tak zarówno proces ich rzeczywistego przekazania jako udostępniania, jak również proces ich przekazania jako powierzenia do przetwarzania przez inny podmiot. Konsekwencją tego błędu jest niestety wskazanie niewłaściwej podstawy prawnej dla przekazania danych osobowych podmiotowi trzeciemu. Tym samym w pierwszej kolejności należy określić kiedy będzie dochodziło do udostępnienia danych osobowych a kiedy do powierzenia ich przetwarzania. Istotne jest również, jak te procesy dokumentować. Prawidłowe rozwiązania w tym zakresie pozwalają na uniknięcie konsekwencji w postaci kar finansowych.

Kiedy udostępniasz a kiedy powierzasz przetwarzanie danych?

Przypomnijmy, że nie jest wykluczone, iż administrator ochrony danych nie będzie przetwarzał danych osobowych samodzielnie, a przekaże je podmiotowi trzeciemu w z góry znanym celu. Jeśli ten podmiot przetwarza powierzone do przetwarzania dane osobowe w zakresie, w jakim ADO mu je powierzył, działając na rzecz i w interesie ADO, wówczas ADO sprawuje kontrolę nad procesem przetwarzania danych osobowych przez ten podmiot, któremu je przekazano. Podmiot ten co do zasady nie może wykorzystywać przekazanych danych we własnych celach. Dochodzi wówczas do powierzenia przetwarzania danych osobowych. Dane osobowe mogą być również przekazane podmiotowi trzeciemu, w celu przetwarzania ich przez ten podmiot we własnym celu. W takiej sytuacji ADO nie ma już możliwości kontroli procesu przetwarzania danych osobowych przez ten podmiot. Takie działanie należy określać mianem udostępnienia danych osobowych.

Uwaga

Przekazanie danych osobowych może odbywać się w drodze udostępnienia danych osobowych lub ich powierzenia do przetwarzania przez podmiot trzeci.

Powyższe wnioski wynikają z definicji wskazanych w RODO. Art. 4 pkt 2 RODO stanowi, iż udostępnianie danych osobowych jest ich przetwarzaniem.

Uwaga

Przetwarzanie danych to operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Natomiast z art. 28 ust. 1 RODO wynika, że jeżeli przetwarzanie ma być dokonywane w imieniu ADO, to podmiot trzeci korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Równocześnie podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora.

Umowa …

Aby przestrzegać reguł RODO, powierzenie przetwarzania danych powinno przyjąć formę umowy, która podlega prawu Unii lub prawu państwa członkowskiego i wiąże podmiot przetwarzający i administratora.

Uwaga

Umowa powierzenia przetwarzania danych określa przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Oprócz tego umowa musi wyraźnie wskazywać, że:

  • procesor (czyli podmiot, któremu powierzono przetwarzanie danych) będzie przetwarzał dane osobowe wyłącznie na podstawie udokumentowanego polecenia administratora danych,
  • będzie musiał zapewnić zachowanie tajemnicy przetwarzanych danych osobowych, odpowiednie bezpieczeństwo ich przetwarzania, pomoc administratorowi w wypełnianiu jego obowiązków względem osoby, której dane dotyczą lub Urzędu Ochrony Danych Osobowych, oraz
  • usunie lub zwróci dane po zakończeniu ich przetwarzania.

… lub inny instrument prawny dokumentuje powierzenie przetwarzania danych

Umowa nie jest jedyną formą powierzenia przetwarzania danych. W RODO użyto tajemniczego sformułowania „Inny instrument prawny”, nie zostało ono jednak zdefiniowane. Zaznaczono jedynie, że powinno ono spełniać takie same standardy, jak umowa. Jak wskazują eksperci, „inny instrument prawny” dotyczy w szczególności relacji prawnych pomiędzy podmiotami ze sfery prawa publicznego tj. organów i podmiotów publicznych (P. Litwiński (red.)/P. Barta/M.Kawecki Rozporządzenie (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Komentarz, s.476). Pomiędzy organami państwowymi lub organami samorządu terytorialnego występuje bowiem regulacje administracyjnoprawne oparte na instrumentach prawnych takich jak ustawy, rozporządzenia, akty prawa miejscowego, na podstawie których dochodzi do przekazania określonemu organowi danych osobowych będących w posiadaniu innego organu administracji publicznej. „Instrument prawny” może jednak też dotyczyć innych sfer.

Przykład

Dotychczas spółki wchodzące w skład grupy kapitałowej były traktowane jak osobni administratorzy ochrony danych, w związku z czym zawsze zawierały wzajemnie umowy powierzenia. Zgodnie z RODO instrumentem prawnym dokumentującym powierzenie przetwarzania danych mogą być zaś wewnętrzne regulacje prawne grup kapitałowych.

Udostępnienie dokumentowane w dowolnej formie

Inaczej jednak jest w przypadku udostępnienia danych osobowych. Jak już wskazano, udostępnianie danych nie jest ich powierzeniem, o którym mowa w art. 28 RODO. Inaczej niż powierzenie, udostępnienie danych osobowych, nie ma więc wprost przepisanej jednolitej formy prawnej, którą ADO powinien zastosować, gdy w ten sposób będzie przetwarzał dane osobowe. Zgodnie jednak z zasadą rozliczalności (art. 5 ust. 2 RODO), ADO zobowiązany jest się wyliczyć z tego, że przestrzega przepisy ochrony danych osobowych i to przestrzeganie musi być w stanie wykazać.

Przykład

Przykładem dokumentowania udostępniania danych osobowych może być np. zobowiązanie Sądu, zobowiązanie organów ścigania czy też wniosek pracownika poszkodowanego w wyniku stłuczki parkingowej.

Jak dokumentować powierzenie i udostępnianie danych w praktyce?

W praktyce bardzo często administrator danych osobowych będący przedsiębiorcą powierza przetwarzanie danych, korzystając z usług podmiotu zewnętrznego - tzw. outsourcing usług.

Uwaga

Czym jest outsourcing? Polega on na zleceniu podmiotowi zewnętrznemu wykonywania określonych usług zamiast zatrudniania do wykonania tych czynności swojego pracownika.

Przykład

Administrator powierza przetwarzanie danych w ramach outsourcingu np. w przypadku usług kadrowych, płacowych, prawniczych, informatycznych, marketingowych, BHP-wskich, informatycznych, ochrony mienia i osób. Przedsiębiorcy podpisują wówczas umowę o współpracy, w ramach której zobowiązują się do przekazywania wszelkich informacji niezbędnych dla prawidłowego realizowania postanowień zawartej umowy, a w tym danych osobowych. Aby powierzenie danych osobowych było legalne, powinno być ono udokumentowane umową.

ADO może też przekazać podmiotowi trzeciemu dane osobowe, ale jednocześnie nie korzystać z jego usług w oparciu o outsourcing. W takiej sytuacji ADO nie ponosi odpowiedzialności za działania podmiotu, któremu dane udostępnił, a ten podmiot w stosunku do otrzymanych danych posiada status odrębnego ADO (nie zaś podmiotu przetwarzającego).

Przykład

ADO powołując się na swój uzasadniony interes prawny (ochrona osób i mienia) instaluje monitoring rejestrujący obraz zarówno w budynku jak i na terenie wokół niego. Obszar monitorowany obejmuje również parking dla gości czy pracowników. Na co dzień może dochodzić do szkód powstałych w wyniku tzw. stłuczek parkingowych. Często jednak zdarza się, że sprawca oddala się z miejsca zdarzenia. W takiej sytuacji właściciel samochodu, w celu ustalenia sprawcy wyrządzonej mu szkody, może zwrócić się do ADO z żądaniem udostępnienia danych osobowych zawartych w nagraniach z monitoringu w celu ułatwienia dochodzenia odszkodowania. ADO może wówczas zgodzić się na realizację żądania. W praktyce wniosek o udostępnienie danych z monitoringu powinien w tego typu przypadkach obejmować: datę wniosku, datę i prawdopodobne godziny powstania szkody, niezbędne dane osobowe poszkodowanego składającego wniosek oraz uzasadnienie wniosku. ADO po otrzymaniu wniosku, będzie dysponował odpowiednią podstawą prawną dla rozpoznania wniosku. Jeśli ADO uwzględni żądanie, wówczas może wydać obraz monitoringu, ale wyłącznie w zakresie, w którym monitoring zarejestrował zdarzenie wywołujące szkodę. Warto, aby przekazanie obrazu z monitoringu dla celów dowodowych przybrało formę pisemną, w której ADO wskaże, kiedy, komu, dlaczego i w jakim zakresie wydaje kopię zarejestrowanego przez monitoring obrazu.

Przykład

Celem przedsiębiorcy jest pozyskanie danych osobowych konsumenta w jak najszerszym zakresie, aby móc się z nim kontaktować w różnego rodzaju celach np. marketingu bezpośredniego, marketingu usług własnych, tzw. cold mailingu, zaproszenia na różnego rodzaju wydarzenia, premiery, ale nawet zaproponowaniu ulubionej kawy, gdy ten odwiedzi przedsiębiorcę. Nie można jednak wykluczyć udostępnienia danych osobowych konsumenta innej firmie, w celu przetwarzania danych przez tę  firmie we własnym imieniu, a nie przez firmę, która przekazała dane. Dochodzi wówczas do udostępnienia danych osobowych, które – co należy zaznaczyć – wymaga wyraźnej zgody klienta.

Przykład

Dokumentacja medyczna (objęta tajemnicą lekarską) obejmuje zarówno dane osobowe pacjenta, jak również informacje o jego stanie zdrowia, a także o zakresie udzielanych świadczeń. W konsekwencji niepowodzeniem będzie kończyła się próba żądania udostępnienia danych osobowych pacjenta, bez informacji o zakresie udzielonych świadczeń medycznych. Jako że dokumentacja medyczna jako taka objęta jest tajemnicą lekarską, to dotyczy to zarówno danych osobowych pacjenta jak i zakresu udzielonych mu świadczeń. Dlatego udostępnienie informacji pochodzących z dokumentacji medycznej może być zrealizowane wyłącznie na rzecz prawem upoważnionych organów i to w zakresie prawem przepisanym (J. Sobczak, Czy można udostępnić dane identyfikujące pacjenta, Informacja w Administracji Publicznej 2/2017).

Nie można wykluczyć, że dany podmiot w określonym zakresie będzie odrębnym ADO, a w pozostałej części podmiotem przetwarzającym np. w konfiguracji agencja pracy – pracodawca użytkownik.

Reasumując …

  1. Udostępniania danych osobowych w praktyce nie należy mylić z przekazaniem danych osobowych do przetwarzania podmiotowi przetwarzającemu, a więc z powierzeniem przetwarzania tych danych.
  2. Powierzenie przetwarzania danych powinno być udokumentowane umową albo innym instrumentem prawnym, zgodnym z regulacjami unijnymi.
  3. Udostępnienie danych powinno być również udokumentowane, ale w dowolny sposób.
Uwaga
Nie wiesz, jak udokumentować powierzenie przetwarzania danych lub ich udostępnianie w Twojej firmie? Skorzystaj z możliwości opracowania dokumentacji ochrony danych przez naszego eksperta!
Paweł Biały

Autor: Paweł Biały

doktor nauk prawnych, prawnik praktyk, ekspert z zakresu prawa ochrony danych osobowych, administrator bezpieczeństwa informacji, prowadzi warsztaty i szkolenia, wykładowca akademicki, Instytut Ochrony Danych Osobowych

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x