Udostępnić dane osobowe czy powierzyć ich przetwarzanie – 18 rozwiązań (cz. III)

L.p.

Stan faktyczny

Rozwiązanie

Wyjaśnienie

1.

Organizacja zawiera umowę o świadczenie obsługi prawnej z kancelarią adwokacką/radcy prawnego

UDOSTĘPNIENIE DANYCH

Radca prawny czy adwokat w ramach wykonywania swoich zadań na zlecenie klienta nie jest procesorem, lecz odrębnym administratorem, gdyż działa we własnym imieniu i na własną rzecz w zakresie pozyskiwanych danych. W przypadku oceny czy mamy w danej sytuacji styczność z procesorem czy administratorem, należy zastanowić się czy taki podmiot po rozwiązaniu umowy będzie mógł i musiał zwrócić lub zniszczyć dane, które pozyskał. W przypadku radcy ustawa obliguje go do przechowywania akt w tym danych przez określony czas. Powyższe wskazuje, że jest on administratorem. Potwierdza to również wewnętrzny poradnik dla radców prawnych w zakresie RODO, który nie zobowiązuje do podpisania umów powierzenia z klientami.

2.

Organizacja przekazuje dane osobowe klientów notariuszowi.

UDOSTĘPNIENIE DANYCH

Notariusz będąc urzędnikiem publicznym, który, przetwarzając dane osobowe w zakresach oraz celach wynikających z ustawy - Prawo o notariacie, występuje w roli administratora danych. Dlatego administrator, przekazując dane osobowe notariuszowi, nie powierza ich lecz udostępnia innemu administratorowi.

3.

Uczelnia kieruje studenta na odbycie praktyk w zakładzie pracy.

POWIERZENIE PRZETWARZANIA DANYCH

Skierowanie studenta na praktyki następuje na podstawie imiennego skierowania uczelni, zatem zakład pracy nie pozyskuje danych studenta samodzielnie, jako odrębny administrator, tylko w pierwszej kolejności otrzymuje je od uczelni wyższej. W takim przypadku, gdy nie ma podstawy do udostępnienia danych, konieczne jest zawarcie umowy powierzenia przetwarzania.

4.

Organizacja zawiera umowę o świadczenie usług z IOD (prowadzącym własną działalność gospodarczą).

POWIERZENIE PRZETWARZANIA DANYCH

Jeżeli IOD jest członkiem danej organizacji (jej pracownikiem lub zleceniobiorcą, pod warunkiem usytuowania w strukturze tej organizacji), wówczas wystarczające jest upoważnienie wydane przez dyrektora, do przetwarzania danych. Jeżeli jednak IOD nie jest zatrudniony w danej jednostce, lecz jest podmiotem zewnętrznym, wówczas zakres jego obowiązków i odpowiedzialności w zakresie przetwarzania danych musi zostać ustalony w drodze umowy i nie jest tu wystarczające samo wyznaczenie IOD.  W tym wypadku przetwarzanie danych jest dopuszczalne na podstawie umowy powierzenia przetwarzania.

Nie ma tu żadnego wyjątku przewidzianego w RODO – skoro odrębny podmiot mający zamiar świadczyć usługi IOD będzie miał dostęp do danych osobowych, to musi mieć ku temu podstawę prawną, którą będzie stanowiła umowa powierzenia przetwarzania danych osobowych.

5.

Organizacja przekazuje dane na żądanie komornika sądowego.

UDOSTĘPNIENIE DANYCH

Podmiot przekazujący dane jest niewątpliwie administratorem danych dłużnika. Ich administratorem w wyniku przekazanie staje się jednak także komornik, który jako organ egzekucyjny samodzielnie decyduje o celach i sposobach przetwarzania danych osobowych w których jest posiadaniu. Gdyby bowiem komornik był związany zakresem i celem przetwarzania danych wyznaczonym przez podmiot, który przekazał mu dane osobowe, wówczas nie mógłby skutecznie realizować swoich obowiązków.

6.

Firma wprowadza dla klientów możliwość płacenia kartą (on-line) z możliwością zaznaczenia zgody na dokonywanie płatności cyklicznych.

POWIERZENIE PRZETWARZANIA DANYCH

Firma, która proponuje usługi płatnicze jednocześnie jest zobligowana przez operatora do wskazywania w formularzu pewnych danych, które są istotne dla operatora, a które jednocześnie są przesyłane przez firmę (bez zapisywania tych danych na serwerze firmy i bez przetwarzania takich danych) do operatora. Ponieważ jest to niejako narzucony wymóg operatora - jak wynika z pytanie - firma powinna być traktowana jako podmiot przetwarzający dane na zlecenie administratora.

7.

Podmiot leczniczy zleca przeprowadzenie badań w laboratorium.

UDOSTĘPNIENIE DANYCH

Laboratoria wprawdzie otrzymują zlecenia, ale tworzą własną dokumentację i wykonują badania we własnym imieniu. Otrzymując dane osobowe od zleceniodawcy - pracodawcy, stają się swoistymi administratorami.

Własna podstawa prawna przetwarzania danych dla laboratorium znajduje się także w art. 26 ust. 3 pkt 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Potwierdza to również projektu kodeksu branżowego dla podmiotów leczniczych (dostęp: www.rodowzdrowiu.pl):

8.

Szkoła przekazuje dane uczniów poradni psychologiczno-pedagogicznej.

POWIERZENIE PRZETWARZANIA DANYCH

Udostępnienie musi zostać oparte o wyraźną przesłankę wynikającą z przepisów prawa. W przypadku przekazania opinii do poradni psychologiczno-pedagogicznej taka przesłanka nie istnieje. Przywołać tu można przykładowo § 5 ust. 1 rozporządzenia MEN z 1 lutego 2013 r. w sprawie szczegółowych zasad działania publicznych poradni psychologiczno-pedagogicznych, w tym publicznych poradni specjalistycznych, zgodnie z którym poradnia wydaje opinię na pisemny wniosek rodzica dziecka albo pełnoletniego ucznia, którego dotyczy opinia, w terminie nie dłuższym niż 30 dni, a w szczególnie uzasadnionych przypadkach w terminie nie dłuższym niż 60 dni, od dnia złożenia wniosku. Zatem podmiotem inicjującym działanie poradni polegające na wydaniu opinii zawsze są rodzice.

9.

Jednostka samorządowa zawiera umowę o wykonanie robót z wykonawcą.

POWIERZENIE PRZETWARZANIA DANYCH

Konieczne jest zawarcie umowy powierzenia danych z uwagi na brak przesłanki uzasadniającej udostępnienie danych osobowych wykonawcy robót oraz brak przesłanki uzasadniającej przetwarzanie danych osób, przez których działki przebiega inwestycja przez wykonawcę robót liniowych.

10.

Gminny ośrodek kultury przekazuje urzędowi gminy fotografie z wizerunkami.

UDOSTĘPNIENIE DANYCH

Obydwa podmioty przetwarzają dane osobowe, określając cele i środki przetwarzania tych danych. Zgodnie z art. 26 RODO jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami.

11.

Szkoła przekazuje pielęgniarce szkolnej dane osobowe uczniów: imię, nazwisko, PESEL ucznia.

UDOSTĘPNIENIE DANYCH

Zgodnie z  art. 68 ust. 1 pkt 11 Prawa oświatowego dyrektor szkoły współpracuje z pielęgniarką albo higienistką szkolną, lekarzem i lekarzem dentystą, sprawującymi profilaktyczną opiekę zdrowotną nad dziećmi i młodzieżą, w tym udostępnia imię, nazwisko i numer PESEL ucznia celem właściwej realizacji tej opieki. Przepis ten stanowi zatem wyraźną, wynikającą z przepisów prawa powszechnie obowiązującego podstawę prawną przekazania danych stomatologowi. Regulacja ta wskazuje jednocześnie zakres danych, jaki dyrektor może przekazać pielęgniarce. W tym zakresie następuje udostępnienie danych.

12.

Organizacja zawiera umowę o świadczenie usług dostępu do internetu  i sieci komórkowej

UDOSTĘPNIENIE DANYCH

Dostawca usługi takiej jak internet czy sieć komórkowa sam zbiera dane i decyduje w całości samodzielnie o celach przetwarzania danych, które pozyskuje od organizacji. Przetwarza te dane w imieniu własnym i na własną rzecz - nie zaliczymy go zatem do podmiotu przetwarzającego.

13.

Organizacja przetwarza dane osobowe, prowadząc transmisje na żywo w serwisie YouTube

POWIERZENIE PRZETWARZANIA DANYCH

Jeżeli bowiem podmiot udostępnia miejsce na swoim serwerze na dane osobowe administratora to naturalnie przetwarza te dane osobowe bowiem zapisuje je oraz odczytuje, wykonuje kopie zapasowe, upublicznia itd.

Jeżeli gmina przekazuje do serwisu YouTube dane osobowe, np. osób zarejestrowanych na nagraniu z sesji, to konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych, w których gmina będzie administratorem a administrator serwera YouTube procesorem.

14.

Gmina zleca obsługę strony internetowej zewnętrznemu usługodawcy

POWIERZENIE PRZETWARZANIA DANYCH

Jeżeli podmiot udostępnia miejsce na swoim serwerze na dane osobowe administratora to naturalnie przetwarza te dane osobowe bowiem zapisuje je oraz odczytuje (np. z wykorzystaniem serwera WWW), wykonuje kopie zapasowe itd. Tym samym od momentu w którym dane osobowe zostają oddane do dyspozycji innemu podmiotowi niż administrator, konieczne jest powierzenie przetwarzania danych osobowych. Nie ma znaczenia to co jest przedmiotem usługi - ważne jest czy faktycznie dochodzi do przetwarzania danych osobowych przez konkretny podmiot.

Zobacz także: BIP a powierzenie przetwarzania danych – 7 pytań i odpowiedzi

15.

Organizacja przekazuje dane pracowników bankowi w celu realizacji świadczeń gotówkowych na rzecz pracowników

POWIERZENIE PRZETWARZANIA DANYCH

Podmiot przetwarzający przetwarza dane osobowe w imieniu i na rzecz administratora danych, wykonując jego polecenia w tym zakresie. Procesor nie realizuje własnych celów przetwarzania danych osobowych. Wobec tego organizacja, przekazując dane osobowe podopiecznych bankowi w celu realizacji wypłat świadczeń powinna zawrzeć z bankiem umowę powierzenia danych.

16.

Organizacja zleca zewnętrznej firmie przeprowadzenie szkolenia dla pracowników

UDOSTĘPNIENIE DANYCH

Firma szkoleniowa realizuje własny cel przetwarzania danych osobowych. Szkolenie prowadzi bowiem we własnym imieniu. W tym zakresie dochodzi zatem do udostępnienia danych osobowych. To zaś nie wymaga zawierania umowy powierzenia danych osobowych.

17.

Organizator stażu (urząd pracy) kieruje pracownika na staż do danego pracodawcy

UDOSTĘPNIENIE DANYCH

Pracodawca u którego staż będzie realizowany, jest całkowicie niezależnym podmiotem w zakresie administrowania danymi osobowymi - jako faktyczny organizator procesu pracy osoby przyjmowanej na staż, który chcąc zapewnić stażyście bezpieczne warunki pracy będzie kierował go na profilaktyczne badania wstępne, właściwe szkolenie bhp, przetwarzając tym samym dane osobowe stażysty na potrzeby sporządzenia niezbędnej dokumentacji.

18.

Organizacja przetwarza dane osobowe adresatów firmie kurierskiej

POWIERZENIE PRZETWARZANIA DANYCH

Kluczowy jest tu cel przetwarzania. Firma kurierska przetwarza dane osobowe w celu realizacji powierzonych jej usług. Dane osobowe znajdujące się wewnątrz korespondencji nie służą realizacji tego celu, a zatem wykraczają poza umowę powierzenia.