Udostępnienie czy powierzenie przetwarzania danych osobowych?

powierzenie przetwarzania danych osobowych

Data 25 maja 2018 r. skłoniła większość podmiotów do podjęcia działań zmierzających do uregulowania wzajemnych relacji biznesowych zgodnie z RODO.

Strony najczęściej dążą do zawarcia umowy o powierzenie przetwarzania danych osobowych, co może rodzić problem z określeniem kto jest administratorem, a kto podmiotem przetwarzającym dane. Odpowiedź nie zawsze jest jednoznaczna, a czasem okazuje się, że mamy do czynienia z dwoma administratorami, co oznacza przekazanie danych w ramach udostępnienia i wyklucza zawarcie umowy powierzenia przetwarzania danych osobowych.

Należy pamiętać, że ich przekazywanie pomiędzy podmiotami może przyjąć postać powierzenia przetwarzania albo udostępnienia. Rozróżnienie ma wpływ na zakres odpowiedzialności oraz ciążące na danym podmiocie obowiązki. To, która forma przekazania danych będzie odpowiednia, zależy od łączącego strony modelu współpracy.

Administrator to podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych, jest zobowiązany spełnić obowiązek informacyjny wobec podmiotu danych oraz ponosi odpowiedzialność za naruszenie bezpieczeństwa danych osobowych, również w sytuacji, gdy do naruszenia doszło z winy wybranego przez niego podmiotu przetwarzającego.

Jeśli więc, w łączącej strony umowie następuje powierzenie danych, ale każda ze stron samodzielnie i niezależnie od drugiej decyduje o tym, w jakim celu będą one przetwarzane – to ich przekazanie następuje przez udostępnienie. Model ten opiera się na współpracy podmiotów, z których każdy jest administratorem danych. Udostępnienie danych nie wymaga zawarcia umowy, gdyż nie rodzi wzajemnych zobowiązań, jak również żaden z podmiotów nie ponosi odpowiedzialności za działania czy zaniechania drugiego administratora. W tym przypadku, każdy z podmiotów jest administratorem wobec osoby, której dane są przetwarzane i we własnym zakresie jest zobowiązany do spełniania względem tej osoby ciążących na nim, jako na administratorze, obowiązków.

W przypadku powierzenia przetwarzania danych osobowych zachodzi relacja administrator – podmiot przetwarzający (procesor).

Zgodnie z wytycznymi Grupy Roboczej art. 29 ds. Ochrony Danych (Opinia 1/2010, 00264/10/PL WP169] muszą być spełnione dwa warunki, by uznać dany podmiot za procesora. Po pierwsze musi to być podmiot odrębny i organizacyjnie niezależny od administratora. Po drugie i najważniejsze – procesor działa w imieniu administratora – wykonuje instrukcje administratora, przynajmniej w odniesieniu do celu i sposobów przetwarzania danych osobowych. W tej perspektywie legalność tego działania przez procesora jest określona przez polecenia udzielone mu przez administratora. Powyższa relacja wiąże się z szerokimi uprawnianiami administratora, który sprawuje nadzór w celu zapewnienia zgodności działań podmiotu przetwarzającego z jego instrukcjami i warunkami umowy, może przeprowadzić u procesora inspekcję oraz audyt w celu zapewnienia bezpieczeństwa danych przez niego przetwarzanych. Relacja administrator – podmiot przetwarzający wymaga zawarcia umowy o powierzenie przetwarzania danych osobowych, której niezbędne elementy zostały wskazane w art. 28 ust. 3 RODO. Podkreślenia wymaga fakt, że podmiot przetwarzający, może również przetwarzać dane we własnych celach, co stawia go wówczas w podwójnej roli – w zakresie w jakim przetwarza dane w imieniu administratora – jest procesorem – a w zakresie w jakim przetwarza dane dla własnych celów, sam staje się administratorem tych danych.

Podsumowując, wybranie odpowiedniego modelu powierzenia danych należy rozpatrywać w odniesieniu do konkretnego przypadku, mając na uwadze kto i w jakim zakresie decydować będzie o celach i sposobach przetwarzania danych osobowych.

Agnieszka Świerczyńska

Autor

Agnieszka Świerczyńska

Ma doświadczenie w prowadzeniu szkoleń z zakresu ochrony danych osobowych, przeprowadzaniu audytów, sporządzaniu oraz weryfikacji umów. Bierze udział w procesie analizy ryzyka pod kątem naruszenia praw i wolności osób fizycznych oraz wdrażaniu RODO ze szczególnym uwzględnieniem podmiotów prowadzących działalność leczniczą.