Powierzenie przetwarzania danych osobowych – zagadnienia praktyczne

Powierzenie przetwarzania danych osobowych jest instytucją budzącą kontrowersje, a czasami wręcz spory pomiędzy przedsiębiorcami. W praktyce, bardzo często pojawiają się sytuacje, w których dwa współpracujące ze sobą podmioty nie mogą dojść do porozumienia na płaszczyźnie przetwarzania danych osobowych. Najczęściej jeden z podmiotów dąży do zawarcia umowy powierzenia przetwarzania danych osobowych, a drugi uparcie odmawia – uznając się za samodzielnego i odrębnego administratora.

Wraz z początkiem obowiązywania przepisów Rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO) został położony nacisk na właściwe unormowanie kwestii związanych z wymianą danych osobowych pomiędzy przedsiębiorcami.

Początkowo, administratorzy danych osobowych dążyli do zawierania umów powierzenia w każdym przypadku, gdy współpraca z innym podmiotem choćby minimalnie obejmowała przetwarzanie danych osobowych.

Obecna praktyka – słusznie – odchodzi od zawierania umów powierzenia za wszelką cenę. Należy bowiem, pamiętać, że w definicji przetwarzania danych osobowych, wskazanej w art. 4 pkt 2 Rozporządzenia, znajdziemy operacje polegające między innymi na ujawnianiu poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie danych osobowych.

Powierzenie przetwarzania danych osobowych jest szczególnym rodzajem przetwarzania tych danych przez administratora polegającym na udostępnieniu danych osobowych innemu podmiotowi. Nie każde jednak ujawnienie jest powierzeniem.

Powierzenie a ujawnienie danych osobowych

Z powierzeniem danych osobowych mamy do czynienia w sytuacji, gdy administrator danych osobowych przekazuje pewne procesy podmiotowi zewnętrznemu – podmiotowi przetwarzającemu (procesorowi). Zasadniczą cechą powierzenia jest zachowanie władztwa administratora nad procesami wykonywanymi na powierzonych danych osobowych. Administrator, więc pomimo tego, że faktycznie nie przetwarza danych we własnej strukturze, nadal pozostaje podmiotem wyłącznie umocowanym do wyznaczania celów i sposobów przetwarzania danych przez procesora. Podmiot przetwarzający nie ma bowiem, własnej podstawy prawnej, która uzasadniałaby przetwarzanie tych danych osobowych na własne potrzeby. Klasycznym przykładem powierzenia jest korzystanie przez przedsiębiorcę z usług biura księgowego na zasadzie outsourcingu.

Natomiast w sytuacji, gdy pomiędzy podmiotami dochodzi do wymiany danych osobowych, ale pierwotny administrator tych danych nie ma wpływu na cele i sposoby przetwarzania danych (w szczególności nie może nakazać takiemu podmiotowi usunięcia, czy zwrócenia danych) wtedy nie ma przesłanek do uznania takiego udostępnienia za powierzenie, a podmiot trzeci staje się administratorem tych danych osobowych. Przykładem ujawnienia danych osobowych niebędącego ich powierzeniem jest skorzystanie przez przedsiębiorcę z usług Poczty Polskiej w celu wysłania korespondencji do klientów.

Obowiązki związane z powierzeniem i ujawnieniem danych osobowych

Kolejną istotną różnicą pomiędzy powierzeniem, a udostępnieniem danych osobowych są obowiązki spoczywające na podmiotach, które weszły w posiadanie danych. O ile, w przypadku ujawnienia danych osobowych podmiot, który wchodzi w posiadanie danych osobowych po prostu, staje się ich administratorem to w przypadku procesora, po pierwsze pojawia się obowiązek podpisania stosownej umowy pomiędzy administratorem danych osobowych, a podmiotem przetwarzającym. Co więcej, administrator powinien upewnić się, że wybrany przez niego podmiot przetwarzający daje gwarancje właściwej ochrony powierzonych mu danych. Po drugie zaś, procesor obowiązany jest prowadzić rejestr kategorii czynności przetwarzania.

Podsumowanie

Nie każde udostępnienie danych wymaga zawarcia umowy powierzenia.

Administrator powierzający dane osobowe zachowuje władztwo nad procesami ich przetwarzania.

W przypadku udostępnienia danych mamy do czynienia z dwoma niezależnymi administratorami.

Natalia Benderska
Konsultant ds. ochrony danych osobowych

Zainteresowaliśmy Cię? Napisz do nas i porozmawiajmy o Twoim projekcie

O Autorze

PBSG
Od 2006 roku pomagamy polskim przedsiębiorcom i organizacjom administracji publicznej w zarządzaniu bezpieczeństwem danych i systemów teleinformatycznych. Przez kilkanaście lat działalności zdobyliśmy niezbędne doświadczenie, dzięki któremu wypracowaliśmy pozycję lidera w obszarze systemowego zarządzania organizacją. Dzisiaj zatrudniamy ponad 180 ekspertów biznesowych i technicznych w ramach grupy kapitałowej. Ponadto współpracujemy z kilkudziesięcioma specjalistami z różnych dziedzin w zakresie zarządzania i wymagań branżowych, aby jak najbardziej dopasować ofertę do realiów i potrzeb polskich firm.