REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Powierzenie przetwarzania danych osobowych - czym dokładnie jest i kiedy je stosujemy?

Przetwarzanie danych osobowych - czym dokładnie jest i kiedy je stosujemy? /Fot. Fotolia
Przetwarzanie danych osobowych - czym dokładnie jest i kiedy je stosujemy? /Fot. Fotolia

REKLAMA

REKLAMA

Przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako RODO lub rozporządzenie) regulują m.in. kwestie powierzenia przetwarzania danych osobowych przez administratora. Rozpoczęcie obowiązywania przepisów unijnego rozporządzenia, wywołało tendencję do bezrefleksyjnego zawierania umów powierzenia przetwarzania danych w każdym przypadku, w którym dochodzi do przekazania danych przez administratora poza jego organizację do innego podmiotu. Niejednokrotnie jednak zawieranie tego typu umów jest całkowicie bezzasadne.

Przed podjęciem decyzji odnośnie konieczności zawarcia umowy powierzenia, ocenie winien zostać poddany stan faktyczny, w ramach którego funkcjonują oba podmioty, pomiędzy którymi dochodzić będzie do przepływu danych. W praktyce niejednokrotnie, może okazać się, że zawieranie umowy powierzenia przetwarzania danych nie będzie konieczne, ponieważ role dwóch podmiotów uczestniczących w procesie przekazania danych ocenić trzeba będzie jako działanie niezależnych administratorów. Zaznaczyć w tym miejscu trzeba, że sama umowa powierzenia, o której mowa w art. 28 ust. 3 RODO, nie ma również charakteru konstytuującego proces powierzenie przetwarzania danych. Oznacza to, że samej umowy nie można uznać za pewne warunkujące czy nawet kreujące stosunek powierzenia.[1] Należy zgodzić się w tym miejscu z tezą, według której stosunek powierzenia przetwarzania danych istnieć może niezależnie od zawarcia umowy powierzenia. Jej brak zaś, winien być rozpatrywany jako brak formalny skutkujący naruszeniem przepisów unijnego rozporządzenia.[2] Określenie analizowanego stanu faktycznego jako powierzenia przetwarzania danych osobowych, ma zatem charakter obiektywny. Istnieją jednak pewne kryteria, które pomogą nam w przeprowadzeniu stosownej oceny w tym zakresie.

REKLAMA

Polecamy: Kodeks pracy 2019 - komentarz

Powierzenie przetwarzania danych a udostępnienie danych osobowych

REKLAMA

Regulacje prawne z zakresu ochrony danych osobowych, nie precyzują dokładnie czym tak naprawdę jest powierzenia przetwarzania danych osobowych. Istnieją jednak przepisy, które pozwalają na określenie pewnych cech charakterystycznych tej instytucji. Art. 4 pkt 8 RODO zawiera definicję samego podmiotu przetwarzającego, przez który należy rozumieć osobę fizyczną lub prawną, organ publicznym jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Z przywołanego przepisy wynika, że najistotniejszą cechą pozwalającą na określenie danego podmiotu mianem podmiotu przetwarzającego, jest to, iż działa on na zlecenie administratora (w jego imieniu i na jego rzecz). Słusznym zatem zdaje się poglądem, zgodnie z którym celniejszym określeniem takiego podmiotu, byłby zwrot: „podmiot przetwarzający na zlecenie”.[3] Taki zabieg pozwoliłby na faktyczne odróżnienie podmiotu zewnętrznego (nienależącego do struktury administratora) przetwarzającego dane w imieniu i na rzecz administratora, od np. pracowników, którzy również w ramach swoich obowiązków mogą przetwarzać dane osobowe w imieniu administratora.

Przetwarzanie danych osobowych w imieniu administratora będzie miało miejsce w sytuacji, gdy podmiot zewnętrzny świadczy pewne usługi na rzecz administratora, jednak nie musi to być główne zadanie zlecone podmiotowi zewnętrznemu. Czynności polegające na przetwarzaniu danych osobowych mogą być częścią składową lub mogą być bezpośrednio powiązane z wykonywaniem innych usług świadczonych przez podmiot zewnętrzny na rzecz administratora. Z powyższego wynika, iż istota powierzenia przetwarzania danych osobowych jest ściśle powiązania z pojęciem outsourcingu. Przez pojęcie outsourcingu należy rozumieć zlecenie podmiotom zewnętrznym, wyspecjalizowanym w określonym zakresie, realizacji procesów niezbędnych do funkcjonowania podmiotu zlecającego. Ideą takich działań jest realizacji określonego procesu w sposób efektywniejszy, niż miałoby to miejsce w wykorzystaniem jedynie zasobów samego podmiotu zlecającego. Innymi słowy, pojęcie outsourcingu winniśmy utożsamiać z rodzajem umowy w przedsiębiorstwie polegającej na tym, że czynności, które mogą być wykonywane przez sam podmiot lub jego pracowników, powierza się do wykonania podmiotowi trzeciemu.[4] Celem outsourcingu jest zatem delegacja pewnych obowiązków z jednego przedsiębiorcy na drugi podmiot w sposób sformalizowany tj. na podstawie umowy zawartej pomiędzy tymi podmiotami.[5]

Zobacz: RODO w firmie

Dalszy ciąg materiału pod wideo

REKLAMA

W tym miejscu istotnym wydaje się również porównanie definicji administratora danych oraz podmiotu przetwarzającego, co pozwoli na określenie kolejnej istotnej cechy podmiotu przetwarzającego. Art. 4 pkt. 9 RODO wskazuje wprost, iż to administrator ustala cele i sposoby przetwarzania danych osobowych. Z powyższego wynika, że podstawową cechą powierzenia przetwarzania danych osobowych, jest to, że podmiot przetwarzający nie posiada pełnej swobody w zakresie działań podejmowanych na danych osobowych otrzymanych od administratora. Można w tym miejscu postawić tezę, iż rola procesora ma charakter wtórny, gdyż podejmuje on swoje działania na danych osobowych dopiero po tym jak sam administrator określi cel jak i sposób ich przetwarzania.

Mając na względzie powyższe, powierzeniem przetwarzania danych osobowych, możemy określić sytuację, gdy administrator, chcący skorzystać z usług zewnętrznego podmiotu przekazuje mu dane osobowe, za które jest odpowiedzialny. Jednocześnie działania tego podmiotu zewnętrznego związane z przetwarzaniem danych osobowych są ściśle związane z decyzją administratora, który to jest wyłącznie uprawniony do sprecyzowania celów i sposobów przetwarzania tych danych. Wszelkie czynności podejmowane przez podmiot zewnętrzny wykonywane są w imieniu i na rzecz administratora danych, na którego polecenie działa. Wszelkie istotne kwestie powierzenia przetwarzania danych osobowych winny zaś zostać uregulowane w umowie zawartej pomiędzy podmiotem przetwarzającym a administratorem (zgodnie z art. 28 RODO).

Jak wspominano na wstępie niniejszego artykułu, przekazywanie danych pomiędzy dwoma podmiotami może być również zakwalifikowane jako udostępnienie tych danych. Podobnie jak przy pojęciu powierzenia przetwarzania danych osobowych, przepisy nie wprowadzają definicji udostępnienia danych osobowych. Niezależnie od powyższego pojęcie to jest powszechnie stosowane w praktyce. Poprzez udostępnienie danych należy rozumieć nic innego jak jedną z form przetwarzania danych osobowych, o czym stanowi sam art. 4 pkt. 2 RODO wskazując, że przetwarzanie oznacza operacje lub zestaw operacji na danych osobowych takich jak m.in. rozpowszechnianie lub innego rodzaju udostępnianie. Zgodnie z przyjętymi poglądami przedstawicieli doktryny, cechą charakterystyczną dla tej formy przetwarzania jest to, że dochodzi do niej w sytuacji, gdy dane przekazywane są pomiędzy dwoma podmiotami samodzielnie decydującymi o celach i środkach przetwarzania danych osobowych.[6] W zw. z powyższym w przypadku tym odbiorcą danych będzie jedynie odrębny administrator. Należy zwrócić uwagę, że przy udostępnieniu danych, przepisy RODO nie przewidują szczególnych zasad jego wykonania np. konieczność zawarcie stosownej umowy. Charakter czynności udostępnienia danych należy zatem oceniać jako czynność faktyczną, co oznacza, że może ono nastąpić w dowolny sposób skutkujący uzyskaniem przez odbiorcę dostępu do danych osobowych, umożliwiającego mu rzeczywiste samodzielne podejmowanie decyzji odnośnie celów i sposobów przetwarzania tych danych.[7] Nie możemy zatem mówić o udostępnieniu danych w relacji pomiędzy administratorem danych a podmiotem przetwarzającym w rozumieniu art. 4 pkt. 8 RODO, gdyż jak to wykazano już wcześniej, ten ostatni działania tylko i wyłącznie w zakresie celów i sposób określonych przez samego administratora.

Analiza stanu faktycznego pod kątem konieczności zawarcia umowy powierzenia danych osobowych

Kwalifikowanie podmiotów do jednej z dwóch kategorii tj. administrator czy też podmiot przetwarzający ma charakter obiektywny i następuje w związku z konkretnymi okolicznościami, podejmowanymi decyzjami gospodarczymi, oceną, kto podejmuje decyzje co do celu przetwarzania danych osobowych oraz sposobów, jakimi się ono odbywa.[8] Prawidłowe określenie podmiotów uczestniczących w analizowanym procesie przetwarzania danych, pozwoli zaś na zidentyfikowanie czy w jego ramach dochodzi do powierzenia przetwarzane danych osobowych i w zw. z tym czy koniecznym jest zawieranie umowy wymaganej przez art. 28 RODO.

Dla prawidłowego zakwalifikowania poszczególnych podmiotów w ramach wyżej wymienionych kategorii, koniecznym jest ich przeanalizowanie pod kątem cech charakterystycznych dla odrębnego administratora. W tym zakresie pomocna będzie opinia 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający” 00264/10/PL WP 169 z dnia 16 lutego 2010 r. wydana przez Grupę Roboczą Art. 29. Pomimo, iż została ona wydana pod rządami starej dyrektywy z zakresu ochrony danych 95/46/WE, zachowuje ona swą aktualność w zakresie wyjaśnienia poruszonych w nich pojęć.

Wskazanie w relacji pomiędzy dwoma podmiotami tego, który określa cele i sposoby przetwarzania danych, powinno być oparte o okoliczności zarówno prawne jak i faktyczne. Z nich bowiem może wynikać zależność jednego podmiotu od drugiego bądź też samodzielność obu podmiotów. Przywołana opinia Grupy Roboczej Art. 29, wymienia elementy, które mogę być kluczowe dla wskazania administratora oraz podmiotu przetwarzającego:

  1. Kontrola nad przetwarzanymi danymi wynikająca z wyraźnych kompetencji prawnych

Dotyczy to sytuacji, gdy administrator danych lub szczegółowe kryteria potrzebne do jego określenia wynikają wprost z obowiązujących przepisów prawa. Bezpośrednie określenie w przepisie prawa, iż konkretny podmiot jest administratorem danych nie powinno budzić wątpliwości. Trzeba bowiem zwrócić uwagę, iż samo RODO wskazuje, że przepisy w prawie Unii lub prawie państwa członkowskiego, mogą wprost wyznaczać administratora danych bądź też mogą precyzować konkretne kryteria wyznaczenia administratora (patrz. art. 4 pkt. 7 RODO).

W tym miejscu można również wskazać sytuację, w której przepisy prawa nakładają na określony podmiot jedynie obowiązek przetwarzania danych osobowych. Podmioty, na które został nałożony obowiązek gromadzenia określonego zakresu danych osobowych winny być uznawane za odrębnych administratorów.[9]

  1. Kontrola nad przetwarzanymi danymi wynikająca z dorozumianej kompetencji

Z przesłanką tą możemy się spotkać w sytuacji, w której przepis prawa nie określa wprost roli podmiotu jako administratora ani nie wskazuje na obowiązek gromadzenia przez określony podmiot danych osobowych. Rola podmiotu jako administratora może jednak wynikać wówczas z pewnej utrwalonej praktyki. Kluczowe dla zidentyfikowania administratora w takim przypadku mogą być tradycyjne role, ukształtowane w ramach przyjętych praktyk np.: pracodawca w odniesieniu do danych dotyczących jego pracowników, wydawca w odniesieniu do danych dotyczących abonentów, stowarzyszenie w odniesieniu do danych dotyczących jego członków lub osób wspierających.[10]

  1. Kontrola nad przetwarzaniem danych wynikająca z faktycznego wpływu

Ostatnie z kryteriów odnosi się już bezpośrednio do oceny okoliczności danego przypadku. Wynika to z faktu, iż brak jest przepisów szczególnych regulujących kwestię administrowania danymi lub ich gromadzenia oraz nie wykształciła się żadna praktyka w tym zakresie. W większości takich przypadków analizę będziemy rozpoczynać od oceny stosunków umownych zachodzących pomiędzy podmiotami występującymi w procesie przetwarzania danych osobowych. Podkreślenia wymaga, że przydzielenie odpowiedniego statusu (administratora lub podmiot przetwarzający) poszczególnym stronom umowy, winno być zawsze zweryfikowane z faktycznym poziomem kontroli nad przetwarzaniem danych sprawowanym przez te podmioty. To ostatnie kryterium zdaniem autora winno mieć charakter wiążący przy określaniu administratora. Podmiotu, który nie ma prawnej ani faktycznej kontroli nad określaniem celu i sposobu przetwarzania danych osobowych, nie można uważać za administratora danych.

Określanie celów i sposobów przetwarzania danych

Uwzględniając powyższe, zasadnym pozostaje wyjaśnienie pojęcia cele i sposoby przetwarzania danych, wykorzystywanego w definicji administratora w art. 4 pkt 7 RODO. Jak trafnie wskazano w przytoczonej opinii Grupy Roboczej Art. 29 określanie celów i sposobów, jest niczym innym jak podejmowaniem decyzji o tym „dlaczego” oraz „jak” przetwarzane będą dane osobowe w określonej sytuacji.

Podkreślenia wymaga, że określenie sposobów przetwarzania danych nie powinno być łączone jedynie z podjęciem decyzji odnośnie środków technicznych stosowanych w procesie przetwarzania. Określenie sposobów przetwarzania danych obejmuje oprócz kwestii technicznych również aspekty organizacyjne oraz elementy zasadnicze samego przetwarzania. Do tej ostatniej grupy zaliczymy następujące zagadnienia: jakiego rodzaju dane się przetwarza?, jak długo dane będą przetwarzane?, jakie osoby trzecie mają dostęp do tych danych?, kiedy usuwa się dane?, kto ma dostęp do danych?. Należy zgodzić się z tezą przedstawioną w powoływanej opinii Grupy Roboczej Art. 29, że określenie wyżej wymienionych elementów zasadniczych w zakresie sposoby przetwarzania danych jest wyłącznym uprawnieniem administratora. W pozostałym zakresie tj. podjęcia decyzji odnośnie stosowanych konkretnych środków technicznych oraz organizacyjnych może ona zostać delegowana na podmiot przetwarzający (np. w zakresie stosowanego sprzętu komputerowego lub oprogramowania). Podkreślenia jednak wymaga, że przyjęte środki techniczne i organizacyjne powinny być adekwatne dla osiągnięcia celów przetwarzania, które to zaś są określane wyłącznie przez administratora.[11]

Przez cel przetwarzania należy zaś rozumieć zamierzony rezultat, efekt, określonego działania (przetwarzania danych osobowych). Według art. 5 ust. 1 lit. b RODO, cel ten winien być określony w sposób konkretny, wyraźny, prawnie uzasadniony i nie powinien podlegać swobodnej zmianie w trakcie czynności przetwarzania danych.[12] Ktokolwiek podejmuje tę decyzję jest (faktycznie) administratorem danych. Jeżeli zatem podmiot przetwarzający będzie miał wpływ na określenie celów lub wykorzystywać będzie dane osobowe dla osiągnięcia własnych celów, co do zasady powinien on zostać uznany za odrębnego administratora danych.

Podsumowując, należ wskazać, że w sytuacji, w której żaden z charakterystycznych elementów wymienionych w ramach niniejszego artykułu nie znajdzie zastosowania przy ocenie określonego podmiotu, brak będzie podstaw do określania go mianem administratora danych. Oznacza to zatem, że będzie on podmiotem przetwarzającym dane na zlecenie administratora, co zaś przesądzi o konieczności zawarcia umowy powierzenia z art. 28 RODO.


[1] K. Witkowska – Nowakowska [w:] E. Bielak – Jomaa, D. Lubasz, RODO. Ogólne Rozporządzenie O Ochronie Danych. Komentarz, źródło Lex

[2] Sakowska- Baryła Ogólne rozporządzenie o ochronie danych osobowych. Komentarz 2018, wyd. 1, źródło Legalis

[3] K. Witkowska – Nowakowska [w:] E. Bielak – Jomaa, D. Lubasz, RODO. Ogólne Rozporządzenie O Ochronie Danych. Komentarz, źródło Lex

[4] S. Włodyka (red.), Prawo umów handlowych, t. 5 Warszawa 2006, s. 35-36

[5] A.Krasuski: Outsourcing danych osobowych w działalności przedsiębiorstw, Warszawa 2010; str. 17-18

[6] Litwiński, Barta, Kawecki: Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz 2018, źródło Legalis

[7] Litwiński, Barta, Kawecki: Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych., Komentarz 2018, źródło Legalis

[8] Sakowska- Baryła Ogólne rozporządzenie o ochronie danych osobowych. Komentarz 2018, wyd. 1, źródło Legalis

[9] Opinia nr 00264/10/PL WP 169 z dnia 16 lutego 2010 r. str. 12

[10] Opinia nr 00264/10/PL WP 169 z dnia 16 lutego 2010 r. str. 12

[11] Opinia nr 00264/10/PL WP 169 z dnia 16 lutego 2010 r. str. 15-16

[12] Sakowska- Baryła Ogólne rozporządzenie o ochronie danych osobowych. Komentarz 2018, wyd. 1, źródło Legalis

Autor: Adw. Łukasz Pociecha, Ekspert ds. ochrony danych, ODO 24. Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2. Audytor wiodący (ISO/IEC 27001).

Autopromocja

REKLAMA

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

QR Code
Moja firma
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Zamrożenie cen energii w 2025 r. Rzecznik Małych i Średnich Przedsiębiorstw krytycznie o wycofaniu się z działań osłonowych wobec firm

Zamrożenie cen energii w 2025 r. Rzecznik Małych i Średnich Przedsiębiorstw krytycznie o wycofaniu się z działań osłonowych wobec firm. Interweniuje u premiera Donalda Tuska i marszałka Sejmu Szymona Hołowni.

ZUS: Wypłacono ponad 96,8 mln zł z tytułu świadczenia interwencyjnego. Wnioski można składać do 16 marca 2025 r.

ZUS: Wypłacono ponad 96,8 mln zł z tytułu świadczenia interwencyjnego. Wnioski można składać do 16 marca 2025 r. Zakład Ubezpieczeń Społecznych poinformował, że przygotowuje kolejne wypłaty świadczenia.

Black Friday, Cyber Monday. Cyberprzestępcy już na to czekają. Jak firmy mogą się zabezpieczyć?

Black Friday, Cyber Monday. Cyberprzestępcy już na to czekają. Jak firmy mogą się zabezpieczyć przed zagrożeniami? Przedświąteczny sezon zakupowy może stwarzać zagrożenia nie tylko dla klientów ale także dla sklepów.

Wiarygodność ekonomiczna państwa. Problem dla Polski i Węgier

Polska i Węgry mają wyzwania związane z wiarygodnością ekonomiczną – tak wynika z tegorocznego Indeksu Wiarygodności Ekonomicznej. Dotyczy to w szczególności obszarów praworządności, finansów publicznych i stabilności pieniądza.

REKLAMA

Obowiązek integracji kas rejestrujących z terminalami odroczony do 31 marca 2025 r.

Obowiązek integracji kas rejestrujących z terminalami odroczony do 31 marca 2025 r. Zapisy zawarto w ustawie o opodatkowaniu wyrównawczym. W rządzie trwają prace nad całkowitą likwidację tego obowiązku.

Uwaga! Cyberprzestępcy nie odpuszczają. Coraz więcej wyłudzeń w branży transportowej – ofiara płaci dwa razy

Fałszywe e-maile coraz częściej są stosowane do wyłudzania środków z firm. Zastosowanie tej metody w transporcie bywa szczególnie skuteczne ze względu na wysoką częstotliwość transakcji oraz międzynarodowy charakter współpracy, co często utrudnia wykrycie oszustwa. Jak się bronić przed wyłudzeniami?

KAS i CBŚP zatrzymały 19 osób wystawiających tzw. puste faktury. Postawiono 29 zarzutów

KAS i CBŚP zatrzymały 19 osób wystawiających tzw. puste faktury. Postawiono 29 zarzutów. Sprawę prowadzi Kujawsko-Pomorski Urząd Celno-Skarbowy w Toruniu i CBŚP, pod nadzorem Zachodniopomorskiego Wydziału Zamiejscowego Departamentu ds. Przestępczości Zorganizowanej i Korupcji Prokuratury Krajowej w Szczecinie.

Co konkretnie możemy zrobić, by zadbać o zdrowie psychiczne i fizyczne pracowników? [Pobierz BEZPŁATNEGO E-BOOKA]

Pobierz bezpłatnego e-booka. Dbanie o dobrostan pracowników powinno stanowić priorytet dla zarządów i działów HR, zwłaszcza w kontekście współczesnych wyzwań, przed którymi staje zarówno biznes, jak i społeczeństwo. W obliczu prezydencji Polski w Unii Europejskiej, gdzie jednym z priorytetów staje się profilaktyka zdrowotna, warto podkreślić, jak fundamentalne znaczenie ma ona nie tylko dla jednostek, ale i dla całych organizacji.

REKLAMA

Efektywność energetyczna budynków. Nowe przepisy to dodatkowe obowiązki dla biznesu

Analizy rozwiązań w zakresie efektywności energetycznej dla wszystkich dużych inwestycji oraz certyfikowane systemy zarządzania energią dla firm energochłonnych. Takie rozwiązania przewidują założenia projektu zmiany ustawy o efektywności energetycznej.

ZUS otrzymał ponad 525,4 tys. wniosków o wakacje składkowe. Wnioski można składać do 30 listopada 2024 r.

ZUS otrzymał ponad 525,4 tys. wniosków o wakacje składkowe. Wnioski o wakacje składkowe można składać wyłącznie drogą elektroniczną do 30 listopada 2024 r. Czym są wakacje składkowe?

REKLAMA