W ramach prowadzonej działalności lub pełnionej funkcji, w celu realizacji obowiązków zawodowych, współpracy bądź świadczenia usług, nierzadko zachodzi konieczność przekazania danych osobowych do innego podmiotu. Z perspektywy ochrony danych osobowych skutkuje to obowiązkiem oceny, czy taka operacja powinna wiązać się z zawarciem umowy powierzenia przetwarzania danych osobowych czy też może być potraktowana jako udostępnienie danych innemu administratorowi. Weryfikacja ta w praktyce bywa dość złożona i wymaga wieloaspektowej, sumiennej analizy.
Co to jest powierzenie danych osobowych?
Powierzenie przetwarzania danych osobowych to umocowanie przez administratora innego podmiotu do przetwarzania danych w jego imieniu, zatem w relacji powierzenia mamy do czynienia z administratorem, który zleca podmiotowi przetwarzanie danych osobowych w jego imieniu, w celu przez niego jasno określonym, na jego rzecz i na jego zasadach. Powierzając dane, administrator nie traci nad przekazanymi danymi kontroli, zatem może w każdej chwili zażądać np. zwrotu lub usunięcia danych osobowych.
Z kolei podmiot przetwarzający, nie nabywa żadnej kontroli, nie może samodzielnie decydować o celach i sposobach przetwarzania przekazanych mu danych osobowych.
Aby zabezpieczyć własne interesy należy pamiętać, że w takich sytuacjach należy podpisywać umowę powierzenia danych osobowych, gdyż dla administratora stanowi ona podstawę przekazania danych, a dla podmiotu podstawę ich przetwarzania.
Należy pamiętać, że podmiot przetwarzający dane na zlecenie ADO, nie może wykorzystywać ich do realizacji własnych celów. Udostępnianie tych danych, oraz przetwarzanie bez zgody ADO jest niezgodne z prawem, ponieważ nadal ich właścicielem jest administrator
Co to jest udostępnienie danych osobowych?
O udostępnieniu mówimy wówczas gdy dane przekazujemy podmiotowi, który samodzielnie będzie decydował o celach i sposobach ich przetwarzania. Aby udostępnić dane osobowe administrator musi posiadać ku temu przesłankę legalizującą, a w momencie ich udostępnienia przestaje decydować o celach i sposobach przetwarzania danych.
Podstawowe różnice między udostępnieniem a powierzeniem danych osobowych.
Udostępnienie | Powierzenie | |
Odbiorca danych | Inny administrator, który będzie przetwarzał przekazane dane w swoich własnych celach | Podmiot który będzie przetwarzał przekazane dane w imieniu administratora |
Podstawa przekazania | Jedna z przesłanek legalizujących (art. 6 ust. 1 lub art. 9 ust. 2 RODO) | Umowa powierzenia przetwarzania danych osobowych lub inny instrument prawny. |
Kontrola | Utrata kontroli administratora nad przekazanymi danymi | Pełna kontrola administratora nad przekazanymi danymi |
Obecnie wymiana informacji, również tych dotyczących osób fizycznych, jest standardem. Nadaremno szukać podmiotu, który w żadnym, nawet w najmniejszym stopniu nie przekazuje danych osobowych na zewnątrz. Wybranie odpowiedniego modelu powierzenia danych osobowych powinno być rozpatrywane w odniesieniu do konkretnego przypadku, mając na uwadze kto i w jakim zakresie decydować będzie o celach i sposobach przetwarzania danych.
Podstawa prawna:
- ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).