Udostępnienie czy powierzenie przetwarzania danych osobowych?

Data 25 maja 2018 r. skłoniła większość podmiotów do podjęcia działań zmierzających do uregulowania wzajemnych relacji biznesowych zgodnie z  RODO.

Strony najczęściej dążą do zawarcia umowy o powierzenie przetwarzania danych, co może rodzić problem z określeniem kto jest administratorem,  a kto podmiotem przetwarzającym dane. Odpowiedź  nie zawsze jest jednoznaczna, a czasem okazuje się, że mamy do czynienia z dwoma administratorami, co oznacza przekazanie danych w ramach udostępnienia i wyklucza zawarcie umowy powierzenia przetwarzania.

Należy pamiętać, że przekazywanie danych pomiędzy podmiotami może przyjąć postać powierzenia przetwarzania albo udostępnienia danych. Rozróżnienie ma wpływ na zakres odpowiedzialności oraz ciążące na danym podmiocie obowiązki. To, która forma przekazania danych będzie odpowiednia zależy od łączącego strony modelu współpracy.

Administrator to podmiot, który decyduje o celach i  sposobach przetwarzania danych, jest zobowiązany spełnić obowiązek informacyjny wobec podmiotu danych oraz ponosi odpowiedzialność za naruszenie danych również w sytuacji, gdy do naruszenia doszło z winy wybranego przez niego podmiotu przetwarzającego.

Jeśli więc, w łączącej strony umowie następuje przekazanie danych, ale każda ze stron samodzielnie i niezależnie od drugiej decyduje o tym w jakim celu dane będą przetwarzane – przekazanie danych następuje przez ich udostepnienie. Model ten opiera się na współpracy podmiotów, z których każdy jest administratorem  danych. Udostępnienie danych nie wymaga zawarcia umowy, gdyż nie rodzi wzajemnych zobowiązań, jak również żaden z podmiotów nie ponosi  odpowiedzialności  za działania czy zaniechania drugiego administratora. W tym przypadku, każdy z podmiotów jest administratorem wobec osoby, której dane są przetwarzane i we własnym zakresie jest zobowiązany do spełniania względem tej osoby ciążących na nim, jako na administratorze obowiązków.

W przypadku powierzenia przetwarzania zachodzi relacja administrator – podmiot przetwarzający (procesor).

Zgodnie z wytycznymi Grupy Roboczej art. 29 ds. Ochrony Danych (Opinia 1/2010, 00264/10/PL WP169] muszą być spełnione dwa warunki by uznać dany podmiot za procesora.Po pierwsze musi to być podmiot odrębny i organizacyjnie niezależny od administratora. Po drugie i najważniejsze – procesor działa w imieniu administratora – wykonuje  instrukcje administratora, przynajmniej w odniesieniu do celu i sposobów przetwarzania danych. W tej perspektywie legalność przetwarzania danych przez procesora jest określona przez polecenia udzielone mu przez administratora. Powyższa relacja wiąże się z szerokimi uprawnianiami administratora, który sprawuje nadzór w celu zapewnienia zgodności działań przetwarzającego z jego instrukcjami i warunkami umowy, może przeprowadzić u procesora inspekcję oraz audyt w celu zapewnienia bezpieczeństwa danych przez niego przetwarzanych.   Relacja administrator – podmiot przetwarzający wymaga zawarcia umowy o powierzenie przetwarzania, której niezbędne elementy zostały wskazane w art. 28 ust. 3 RODO. Podkreślenia wymaga fakt, że podmiot przetwarzający, może również przetwarzać dane we własnych celach, co stawia go wówczas w podwójnej roli – w zakresie w jakim przetwarza dane w imieniu administratora – jest procesorem – a w zakresie w jakim przetwarza dane dla własnych celów sam staje się administratorem tych danych.

Podsumowując, wybranie odpowiedniego modelu przekazywania danych należy rozpatrywać w odniesieniu do konkretnego przypadku mając na uwadze, kto i w jakim zakresie decydować będzie o celach i sposobach przetwarzania danych.

Autor

Agnieszka Świerczyńska

Ma doświadczenie w prowadzeniu szkoleń z zakresu ochrony danych osobowych, przeprowadzaniu audytów, sporządzaniu oraz weryfikacji umów. Bierze udział w procesie analizy ryzyka pod kątem naruszenia praw i wolności osób fizycznych oraz wdrażaniu RODO ze szczególnym uwzględnieniem podmiotów prowadzących działalność leczniczą.

Z tej samej kategorii

Kategorie