Obecnym wciąż problemem jest rozróżnianie udostępnienia danych osobowych od powierzenia ich przetwarzania. Rozumiem to, sprawa często nie jest tak prosta, jak się wydaje. Konsekwencją mylenia tych pojęć jest praktyka zawierania umów powierzenia, choćby to było nadmiarowe, zgodnie z zasadą: „najwyżej będzie niepotrzebna, ale lepiej mieć”.
W tym krótkim artykule przedstawię podstawowe narzędzia, które pozwolą Ci odróżnić te dwie rzeczy. Zapraszam! 🙂
Udostępnienie a powierzenie przetwarzania danych osobowych – podstawowe rozróżnienie
Zacznijmy nieco definicyjnie. Udostępnienie danych to jedna z form czynności przetwarzania. Wymaga ono spełnienia co najmniej jednej z przesłanek zgodności określonych w przepisie art. 6 ust. 1 RODO lub przepisie art. 9 ust. 2 RODO. Czynność ta polega na przekazaniu danych osobowych przez jednego administratora innemu administratorowi. Oznacza to, że w tym przypadku każdy z nich dysponuje swoimi własnymi powodami, dla których potrzebuje danych. Każdy z nich realizuje swoje własne cele i sam ustala sposoby przetwarzania danych osobowych.
Inaczej jest w przypadku powierzenia przetwarzania danych osobowych. W tym przypadku przekazanie danych osobowych służy celom jednego z podmiotów, a konkretnie tego, który je przekazuje. Standardowym przykładem powierzenia przetwarzania danych osobowych jest przekazanie danych do biura rachunkowego, które prowadzi rozliczenia w interesie zleceniodawcy. I to właśnie kluczowe rozróżnienie. W tym przypadku ten, który dane otrzymuje, wykorzystuje je w celach tego, który je przekazuje, nie ma w tym własnego celu.
Relacje te prezentuje poniższa infografika.
Wciąż brzmi zagmatwanie? Postaram się to uprościć.
Udostępnienie danych osobowych
Jeżeli przekazujesz dane innemu podmiotowi dlatego, że potrzebuje on tych danych do realizacji własnych celów, to prawdopodobnie jest to udostępnienie.
Przykłady podmiotów, którym udostępnia się dane osobowe:
- radcowie prawni i adwokaci;
- podmioty lecznicze;
- organy administracji publicznej;
- Policja;
- ZUS;
- banki.
Powierzenie przetwarzania danych osobowych
Jeżeli przekazujesz dane innemu podmiotowi dlatego, że potrzebuje on tych danych do realizacji Twoich celów, to prawdopodobnie jest to powierzenie przetwarzania danych osobowych.
Przykłady podmiotów, którym powierza się przetwarzanie danych osobowych:
- biuro rachunkowe;
- kadry i płace;
- obsługa informatyczna;
- hosting;
- niszczenie dokumentacji.
O czym należy pamiętać?
W obu przypadkach pamiętaj o realizacji obowiązku informacyjnego i o tym, abyś dysponował podstawę prawną do przetwarzania danych osobowych. Zadbaj też o bezpieczne przekazanie danych osobowych. Jeżeli przekazujesz je w formie elektronicznej, zaszyfruj plik, w którym znajdują się dane, a hasło wyślij innym kanałem komunikacji.
W przypadku powierzenia przetwarzania danych osobowych konieczne jest zawarcie umowy powierzenia lub innego instrumentu prawnego. W przypadku udostępnienia nie ma takiego obowiązku, jednak warto zadbać o uregulowanie zasad udostępniania danych – nie jest to jednak umowa powierzenia!
Jeżeli jesteś podmiotem przetwarzającym, nazywanym również procesorem, czyli otrzymujesz dane na podstawie umowy powierzenia, pamiętaj o prowadzeniu rejestru kategorii czynności przetwarzania. Jest to obowiązek wynikający wprost z RODO.
W telegraficznym skrócie…
- Dane są udostępniane w relacji między administratorami, z których każdy realizuje swoje cele.
- Dane są powierzane do przetwarzania w relacji między administratorem a podmiotem przetwarzającym, gdy ten drugi realizuje cele administratora.
P.S. Na temat udostępniania danych osobowych możesz przeczytać tutaj. 🙂
Pingback: Kiedy i komu można udostępnić dane osobowe - Zdrowe Dane
Pingback: Co powinno się znaleźć w umowie powierzenia przetwarzania danych osobowych? - Zdrowe Dane