Usługi
Aktualności
RODO
Szkolenia RODO
Wydarzenia
O nas
kontakt

Strona główna
Aktualności
Powierzenie, a udostępnienie – kilka praktycznych wskazówek

Powierzenie, a udostępnienie – kilka praktycznych wskazówek

12.04.2023
Autor: Katarzyna Stańczak
News

Tematem artykułu jest próba odpowiedzi na najczęściej pojawiające się pytanie u klientów w obszarze współpracy z podmiotami zewnętrznymi. Czy dana współpraca związana z przekazywaniem danych osobowych wiąże się z powierzeniem czy udostępnieniem danych osobowych? Czy są jakieś standardowe przykłady powierzenia? Kiedy będziemy mieć do czynienia z modelem udostępnienia danych osobowych, a może w grę wchodzi model współadministrowania? Rozbudowane stany faktyczne w połączeniu z zobowiązaniami umownymi bardzo często powodują, że prawidłowe ustalenie modelu jest niezwykle trudne nawet dla doświadczonych IOD.

Określenie tego kim jest administrator oraz podmiot przetwarzający to punkt wyjścia naszych dalszych rozważań. Administrator to podmiot, który określa cele i sposoby przetwarzania, czyli dlaczego i jak przetwarzać dane. Administrator decyduje zarówno o celach jak i o sposobach przetwarzania. Definicja administrowania może wynikać z przepisów prawa lub analizy elementów stanu faktycznego lub okoliczności sprawy. Aby administrator został uznany za administratora, nie musi on mieć faktycznego dostępu do przetwarzanych danych.[1]

Podmiot przetwarzający oznacza natomiast osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Istnieją dwa podstawowe warunki uznania za podmiot przetwarzający: jest on odrębnym podmiotem w stosunku do administratora oraz przetwarza dane osobowe w imieniu administratora.[2]

Powierzenie przetwarzania danych osobowych w praktyce to m.in. współpraca z firmami prowadzącymi badania rynku, zewnętrzne Call Center, firmy IT, firmy księgowe/kadrowe, firmy niszczące dokumenty, firmy ochroniarskie oraz firmy realizujące wysyłki newsletterów.

Co wiąże się z przyjęciem modelu powierzenia przetwarzania danych osobowych?

Konieczność zawarcia umowy powierzenia przetwarzania danych osobowych zgodnie z wymogami stawianymi przez art. 28 RODO. Przetwarzanie danych osobowych przez podmiot przetwarzający musi być uregulowane umową lub innym aktem prawnym, który musi być sporządzony na piśmie, w tym w formie elektronicznej;
Konieczność zweryfikowania podmiotu przetwarzającego (form weryfikacji jest dużo począwszy od fizycznego audytu a kończąc na interaktywnych ankietach weryfikacyjnych). Administrator korzysta wyłącznie z usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z wymaganiami RODO;
Administrator powinien wziąć pod uwagę następujące elementy, aby ocenić, czy gwarancje są wystarczające: wiedza fachowa (np. wiedza techniczna w zakresie środków bezpieczeństwa i naruszeń ochrony danych); wiarygodność podmiotu przetwarzającego; zasoby podmiotu przetwarzającego. Reputacja podmiotu przetwarzającego na rynku może być również istotnym czynnikiem, który administratorzy powinni wziąć pod uwagę;[3]
Prowadzenie rejestru podmiotów przetwarzających – uznaję to jako dobrą praktykę z zakresu ochrony danych osobowych;
Postępowanie zgodnie z przygotowaną i wdrożoną procedurą weryfikacji podmiotu przetwarzającego.

Model udostępnienia danych osobowych to przekazanie danych do odrębnego podmiotu, który samodzielnie decyduje o celach i sposobach przetwarzania danych osobowych. Sztandarowe przykłady to przekazywanie danych na linii pracodawca – ZUS, pracodawca – bank, przekazywanie danych do policji, straży, biur podróży, kancelarii prawnych, Poczcie Polskiej). Należy pamiętać, że udostępnienie danych jest przetwarzaniem danych osobowych i powinno opierać się na ważnej i legalnej podstawie prawnej.

Co wiąże się z przyjęciem modelu udostępnienia danych osobowych? Zarówno podmiot udostępniający dane jak i podmiot otrzymujący dane muszą samodzielnie i niezależnie posiadać ważne podstawy prawne legalizujące udostępnienie danych. Po drugie podmioty zaangażowane w proces muszą spełniać we własnym imieniu obowiązek informacyjny zgodnie z wymogami stawianymi odpowiednio przez art. 13 i 14 RODO. Przekazanie danych musi nastąpić również w sposób bezpieczny. Należy także pamiętać o prowadzeniu rejestru udostępnionych danych osobowych. Często przydatna jest także wdrożona i stosowana sformalizowana procedura udostępniania danych osobowych.

Bazując na doświadczeniu każdorazowo w celu ustalenia czy mam do czynienia z modelem udostępnienia danych staram się odpowiedź na pytania:

Czy każdy z podmiotów samodzielnie ustala cele i sposoby przetwarzania danych osobowych?
Czy podmiot otrzymujący dane może przechowywać dane pomimo zakończenia umowy? Czy posiada podstawę uprawniającą go do dalszego przetwarzania?
Czy podmiot otrzymujący dane posiada przepisy prawa legalizujące przetwarzanie?

Każdorazowo należy skrupulatnie zbadać stan faktyczny. Na rynku obecnie dostępnych jest tak wiele usług, że często samo ich nazwanie jest niezwykle ciężkie nie wspominając już o prawidłowym zakwalifikowaniu czy to do modelu powierzenia czy udostępnienia danych.

[1] Wytyczne 07/2020 dotyczące pojęć administratora i podmiotu przetwarzającego zawartych w RODO.

[2] Tamże.

[3] Tamże.

Autor

Katarzyna Stańczak

Prawnik, specjalista z zakresu prawa ochrony danych osobowych. Absolwentka Wydziału Prawa i Administracji Uniwersytetu Kardynała Stefana Wyszyńskiego w Warszawie. Ukończyła na tym samym uniwersytecie studia podyplomowe na kierunku Ochrona danych osobowych i informacji niejawnych. Od 2018 roku wykładowca na studiach podyplomowych na kierunku Inspektor Ochrony Danych w Wyższej Szkole Bankowej w Toruniu oraz Bydgoszczy.
Doświadczenie w zakresu prawa ochrony danych osobowych nabyła w jednej z wiodących warszawskich kancelarii prawnych oraz w kilku firmach konsultingowych. Doradzała klientom m.in. z branży produkcyjnej, budowlanej, medycznej oraz pożyczkowej. Wspierała wdrożenie RODO w organizacjach pozarządowych działających na terenie Warszawy. Autorka artykułów branżowych oraz uczestnik licznych wydarzeń poświęconych ochronie danych osobowych.

Z tej samej kategorii

Prawo do bycia zapomnianym Więcej

Ochrona danych osobowych na tle sprawy Morele.net Więcej

Ochrona danych osobowych w procesie obsługi zgłoszeń sygnalistów Więcej

Ufaj, ale sprawdzaj – weryfikacja podmiotów przetwarzających zgodnie z wymogami RODO Więcej

Zatwierdzone kodeksy postępowania w Polsce na gruncie RODO Więcej

Realizacja prawa dostępu do danych osobowych według EROD Więcej

Profilowanie na Danych Osobowych Więcej

Sztuczna inteligencja w objęciach prawa unijnego. Główne problemy regulacyjne w czasie inkubacyjnym. Więcej

Prezes Urzędu Ochrony Danych Osobowych – wybór, kompetencje i wyzwania na 2024 r. Więcej

COLD MAILING W KONTEKŚCIE ADMINISTRATORA DANYCH OSOBOWYCH I PROCESORA Więcej

WSZYSTKIE Z KATEGORII

Kategorie

Analizy
Cyberbezpieczeństwo
definicje i pojęcia w RODO
inspektor ochrony danych
obowiązki administratora danych
organ nadzorczy
powierzanie danych
prawa podmiotów danych
przekazywanie danych poza EOG
roczny plan kontroli UODO
RODO w IT
Sankcje, kary finansowe RODO

Ta strona wykorzystuje pliki cookie, należące do nas lub do osób trzecich, do celów wydajności i służą reklamom zgodnym z Twoimi preferencjami dotyczącymi przeglądania, które mogą być dla Ciebie interesujące. Aby dowiedzieć się więcej o tym, jak używamy plików cookie lub zmienić preferencje dotyczące plików cookie, kliknij na "Ustawienia plików cookie". Możesz w każdej chwili zmienić te ustawienia odwiedzając naszą politykę cookies i postępując zgodnie z zawartymi w niej instrukcjami. Klikając na "Zaakceptuj wszystkie pliki cookie" wyrażasz zgodę na przechowywanie plików cookie w swoim urządzeniu.

Polityka plików cookie Ustawienia plików cookie Zaakceptuj wszystkie pliki cookie

Ustawienia plików cookie

Pliki cookie i inne technologie na tej stronie

Proszę zdecydować, czy ta strona może korzystać z plików cookie lub innych technologii, takich jak sygnały nawigacyjne w sieci web, znaczniki pikseli i obiekty Flash („Pliki cookie”), jak opisano poniżej. Więcej informacji na temat korzystania z plików cookie i związanych z nimi technologii można znaleźć w naszej polityce prywatności, do której odsyła poniższy link.

Polityka Prywatności

Wymagane pliki cookie

Always Enabled

Te pliki cookie są niezbędne, aby umożliwić korzystanie z podstawowych funkcji witryny, takich jak zapewnienie bezpiecznego logowania lub zapamiętywanie, na jakim etapie składania zamówienia jest użytkownik.

Reklamowe pliki cookie

Te pliki cookie są wykorzystywane do wyświetlania reklam, które są bardziej dopasowane do użytkownika. Możemy dzielić się tymi informacjami z reklamodawcami lub wykorzystywać je w celu lepszego zrozumienia zainteresowań użytkownika. Reklamowe pliki cookie mogą być na przykład wykorzystywane do udostępniania danych reklamodawcom, tak aby reklamy, które widzi użytkownik były do niego bardziej dopasowane, aby mógł on udostępniać niektóre strony na portalach społecznościowych lub zamieszczać komentarze na naszej stronie.

Funkcjonalne pliki cookie

Te pliki cookie umożliwiają nam analizę korzystania z witryny przez użytkownika w celu oceny i poprawy jej wydajności. Mogą one być również wykorzystywane do zapewnienia lepszej obsługi klienta na tej stronie. Na przykład: do zapamiętywania danych do logowania, zapisywania informacji o tym, co znajduje się w koszyku lub dostarczania nam informacji o sposobach korzystania z naszej witryny.

Pomiar wydajności

Te pliki cookie umożliwiają nam zliczanie wizyt i źródeł ruchu, dzięki czemu możemy mierzyć i poprawiać wydajność naszej witryny. Pomagają one ustalić, które strony są najbardziej i najmniej popularne i zobaczyć, jak odwiedzający poruszają się po stronie. Wszystkie informacje zbierane przez te pliki cookie są agregowane i tym samym anonimowe. Jeśli użytkownik nie zezwoli na stosowanie tych plików cookie, nie będziemy wiedzieć, kiedy odwiedził naszą stronę internetową.

SAVE & ACCEPT

RODOradar.pl - Wszystko o RODO

Wychodząc naprzeciw trudnościom i wątpliwościom, jakie stwarza wdrażanie przepisów prawa ochrony danych osobowych, stworzyliśmy serwis, którego celem jest dostarczanie wiedzy i wskazówek pomocnych przy wdrażaniu RODO w organizacjach.

Potrzebujesz pomocy we wdrożeniu przepisów RODO w swojej organizacji?

SKONTAKTUJ SIĘ Z NAMI

Nawigacja

Aktualności
Tekst GDPR/RODO
O nas
Szkolenia RODO
Wydarzenia
Regulamin
Polityka prywatności

Blog

O przetwarzaniu danych w badaniu klinicznym
Udostępnienie czy powierzenie przetwarzania danych osobowych?
Formularz kontaktowy a RODO
RODO a nowe prawo kosmetyczne
Dane biometryczne w pracy
Ochrona medycznych danych osobowych

Czytaj dalej >>