REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Moja firma » Prawo » RODO w firmie » Powierzenie przetwarzania danych osobowych - czym dokładnie jest i kiedy je stosujemy?

Powierzenie przetwarzania danych osobowych - czym dokładnie jest i kiedy je stosujemy?

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
04 lutego 2019, 15:01
ODO 24
ODO 24
Przetwarzanie danych osobowych - czym dokładnie jest i kiedy je stosujemy? /Fot. Fotolia
Przetwarzanie danych osobowych - czym dokładnie jest i kiedy je stosujemy? /Fot. Fotolia

REKLAMA

REKLAMA

Przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako RODO lub rozporządzenie) regulują m.in. kwestie powierzenia przetwarzania danych osobowych przez administratora. Rozpoczęcie obowiązywania przepisów unijnego rozporządzenia, wywołało tendencję do bezrefleksyjnego zawierania umów powierzenia przetwarzania danych w każdym przypadku, w którym dochodzi do przekazania danych przez administratora poza jego organizację do innego podmiotu. Niejednokrotnie jednak zawieranie tego typu umów jest całkowicie bezzasadne.

Przed podjęciem decyzji odnośnie konieczności zawarcia umowy powierzenia, ocenie winien zostać poddany stan faktyczny, w ramach którego funkcjonują oba podmioty, pomiędzy którymi dochodzić będzie do przepływu danych. W praktyce niejednokrotnie, może okazać się, że zawieranie umowy powierzenia przetwarzania danych nie będzie konieczne, ponieważ role dwóch podmiotów uczestniczących w procesie przekazania danych ocenić trzeba będzie jako działanie niezależnych administratorów. Zaznaczyć w tym miejscu trzeba, że sama umowa powierzenia, o której mowa w art. 28 ust. 3 RODO, nie ma również charakteru konstytuującego proces powierzenie przetwarzania danych. Oznacza to, że samej umowy nie można uznać za pewne warunkujące czy nawet kreujące stosunek powierzenia.[1] Należy zgodzić się w tym miejscu z tezą, według której stosunek powierzenia przetwarzania danych istnieć może niezależnie od zawarcia umowy powierzenia. Jej brak zaś, winien być rozpatrywany jako brak formalny skutkujący naruszeniem przepisów unijnego rozporządzenia.[2] Określenie analizowanego stanu faktycznego jako powierzenia przetwarzania danych osobowych, ma zatem charakter obiektywny. Istnieją jednak pewne kryteria, które pomogą nam w przeprowadzeniu stosownej oceny w tym zakresie.

REKLAMA

Polecamy: Kodeks pracy 2019 - komentarz

Powierzenie przetwarzania danych a udostępnienie danych osobowych

REKLAMA

Regulacje prawne z zakresu ochrony danych osobowych, nie precyzują dokładnie czym tak naprawdę jest powierzenia przetwarzania danych osobowych. Istnieją jednak przepisy, które pozwalają na określenie pewnych cech charakterystycznych tej instytucji. Art. 4 pkt 8 RODO zawiera definicję samego podmiotu przetwarzającego, przez który należy rozumieć osobę fizyczną lub prawną, organ publicznym jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Z przywołanego przepisy wynika, że najistotniejszą cechą pozwalającą na określenie danego podmiotu mianem podmiotu przetwarzającego, jest to, iż działa on na zlecenie administratora (w jego imieniu i na jego rzecz). Słusznym zatem zdaje się poglądem, zgodnie z którym celniejszym określeniem takiego podmiotu, byłby zwrot: „podmiot przetwarzający na zlecenie”.[3] Taki zabieg pozwoliłby na faktyczne odróżnienie podmiotu zewnętrznego (nienależącego do struktury administratora) przetwarzającego dane w imieniu i na rzecz administratora, od np. pracowników, którzy również w ramach swoich obowiązków mogą przetwarzać dane osobowe w imieniu administratora.

Przetwarzanie danych osobowych w imieniu administratora będzie miało miejsce w sytuacji, gdy podmiot zewnętrzny świadczy pewne usługi na rzecz administratora, jednak nie musi to być główne zadanie zlecone podmiotowi zewnętrznemu. Czynności polegające na przetwarzaniu danych osobowych mogą być częścią składową lub mogą być bezpośrednio powiązane z wykonywaniem innych usług świadczonych przez podmiot zewnętrzny na rzecz administratora. Z powyższego wynika, iż istota powierzenia przetwarzania danych osobowych jest ściśle powiązania z pojęciem outsourcingu. Przez pojęcie outsourcingu należy rozumieć zlecenie podmiotom zewnętrznym, wyspecjalizowanym w określonym zakresie, realizacji procesów niezbędnych do funkcjonowania podmiotu zlecającego. Ideą takich działań jest realizacji określonego procesu w sposób efektywniejszy, niż miałoby to miejsce w wykorzystaniem jedynie zasobów samego podmiotu zlecającego. Innymi słowy, pojęcie outsourcingu winniśmy utożsamiać z rodzajem umowy w przedsiębiorstwie polegającej na tym, że czynności, które mogą być wykonywane przez sam podmiot lub jego pracowników, powierza się do wykonania podmiotowi trzeciemu.[4] Celem outsourcingu jest zatem delegacja pewnych obowiązków z jednego przedsiębiorcy na drugi podmiot w sposób sformalizowany tj. na podstawie umowy zawartej pomiędzy tymi podmiotami.[5]

Zobacz: RODO w firmie

Dalszy ciąg materiału pod wideo

REKLAMA

W tym miejscu istotnym wydaje się również porównanie definicji administratora danych oraz podmiotu przetwarzającego, co pozwoli na określenie kolejnej istotnej cechy podmiotu przetwarzającego. Art. 4 pkt. 9 RODO wskazuje wprost, iż to administrator ustala cele i sposoby przetwarzania danych osobowych. Z powyższego wynika, że podstawową cechą powierzenia przetwarzania danych osobowych, jest to, że podmiot przetwarzający nie posiada pełnej swobody w zakresie działań podejmowanych na danych osobowych otrzymanych od administratora. Można w tym miejscu postawić tezę, iż rola procesora ma charakter wtórny, gdyż podejmuje on swoje działania na danych osobowych dopiero po tym jak sam administrator określi cel jak i sposób ich przetwarzania.

Mając na względzie powyższe, powierzeniem przetwarzania danych osobowych, możemy określić sytuację, gdy administrator, chcący skorzystać z usług zewnętrznego podmiotu przekazuje mu dane osobowe, za które jest odpowiedzialny. Jednocześnie działania tego podmiotu zewnętrznego związane z przetwarzaniem danych osobowych są ściśle związane z decyzją administratora, który to jest wyłącznie uprawniony do sprecyzowania celów i sposobów przetwarzania tych danych. Wszelkie czynności podejmowane przez podmiot zewnętrzny wykonywane są w imieniu i na rzecz administratora danych, na którego polecenie działa. Wszelkie istotne kwestie powierzenia przetwarzania danych osobowych winny zaś zostać uregulowane w umowie zawartej pomiędzy podmiotem przetwarzającym a administratorem (zgodnie z art. 28 RODO).

Jak wspominano na wstępie niniejszego artykułu, przekazywanie danych pomiędzy dwoma podmiotami może być również zakwalifikowane jako udostępnienie tych danych. Podobnie jak przy pojęciu powierzenia przetwarzania danych osobowych, przepisy nie wprowadzają definicji udostępnienia danych osobowych. Niezależnie od powyższego pojęcie to jest powszechnie stosowane w praktyce. Poprzez udostępnienie danych należy rozumieć nic innego jak jedną z form przetwarzania danych osobowych, o czym stanowi sam art. 4 pkt. 2 RODO wskazując, że przetwarzanie oznacza operacje lub zestaw operacji na danych osobowych takich jak m.in. rozpowszechnianie lub innego rodzaju udostępnianie. Zgodnie z przyjętymi poglądami przedstawicieli doktryny, cechą charakterystyczną dla tej formy przetwarzania jest to, że dochodzi do niej w sytuacji, gdy dane przekazywane są pomiędzy dwoma podmiotami samodzielnie decydującymi o celach i środkach przetwarzania danych osobowych.[6] W zw. z powyższym w przypadku tym odbiorcą danych będzie jedynie odrębny administrator. Należy zwrócić uwagę, że przy udostępnieniu danych, przepisy RODO nie przewidują szczególnych zasad jego wykonania np. konieczność zawarcie stosownej umowy. Charakter czynności udostępnienia danych należy zatem oceniać jako czynność faktyczną, co oznacza, że może ono nastąpić w dowolny sposób skutkujący uzyskaniem przez odbiorcę dostępu do danych osobowych, umożliwiającego mu rzeczywiste samodzielne podejmowanie decyzji odnośnie celów i sposobów przetwarzania tych danych.[7] Nie możemy zatem mówić o udostępnieniu danych w relacji pomiędzy administratorem danych a podmiotem przetwarzającym w rozumieniu art. 4 pkt. 8 RODO, gdyż jak to wykazano już wcześniej, ten ostatni działania tylko i wyłącznie w zakresie celów i sposób określonych przez samego administratora.

Analiza stanu faktycznego pod kątem konieczności zawarcia umowy powierzenia danych osobowych

Kwalifikowanie podmiotów do jednej z dwóch kategorii tj. administrator czy też podmiot przetwarzający ma charakter obiektywny i następuje w związku z konkretnymi okolicznościami, podejmowanymi decyzjami gospodarczymi, oceną, kto podejmuje decyzje co do celu przetwarzania danych osobowych oraz sposobów, jakimi się ono odbywa.[8] Prawidłowe określenie podmiotów uczestniczących w analizowanym procesie przetwarzania danych, pozwoli zaś na zidentyfikowanie czy w jego ramach dochodzi do powierzenia przetwarzane danych osobowych i w zw. z tym czy koniecznym jest zawieranie umowy wymaganej przez art. 28 RODO.

Dla prawidłowego zakwalifikowania poszczególnych podmiotów w ramach wyżej wymienionych kategorii, koniecznym jest ich przeanalizowanie pod kątem cech charakterystycznych dla odrębnego administratora. W tym zakresie pomocna będzie opinia 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający” 00264/10/PL WP 169 z dnia 16 lutego 2010 r. wydana przez Grupę Roboczą Art. 29. Pomimo, iż została ona wydana pod rządami starej dyrektywy z zakresu ochrony danych 95/46/WE, zachowuje ona swą aktualność w zakresie wyjaśnienia poruszonych w nich pojęć.

Wskazanie w relacji pomiędzy dwoma podmiotami tego, który określa cele i sposoby przetwarzania danych, powinno być oparte o okoliczności zarówno prawne jak i faktyczne. Z nich bowiem może wynikać zależność jednego podmiotu od drugiego bądź też samodzielność obu podmiotów. Przywołana opinia Grupy Roboczej Art. 29, wymienia elementy, które mogę być kluczowe dla wskazania administratora oraz podmiotu przetwarzającego:

  1. Kontrola nad przetwarzanymi danymi wynikająca z wyraźnych kompetencji prawnych

Dotyczy to sytuacji, gdy administrator danych lub szczegółowe kryteria potrzebne do jego określenia wynikają wprost z obowiązujących przepisów prawa. Bezpośrednie określenie w przepisie prawa, iż konkretny podmiot jest administratorem danych nie powinno budzić wątpliwości. Trzeba bowiem zwrócić uwagę, iż samo RODO wskazuje, że przepisy w prawie Unii lub prawie państwa członkowskiego, mogą wprost wyznaczać administratora danych bądź też mogą precyzować konkretne kryteria wyznaczenia administratora (patrz. art. 4 pkt. 7 RODO).

W tym miejscu można również wskazać sytuację, w której przepisy prawa nakładają na określony podmiot jedynie obowiązek przetwarzania danych osobowych. Podmioty, na które został nałożony obowiązek gromadzenia określonego zakresu danych osobowych winny być uznawane za odrębnych administratorów.[9]

  1. Kontrola nad przetwarzanymi danymi wynikająca z dorozumianej kompetencji

Z przesłanką tą możemy się spotkać w sytuacji, w której przepis prawa nie określa wprost roli podmiotu jako administratora ani nie wskazuje na obowiązek gromadzenia przez określony podmiot danych osobowych. Rola podmiotu jako administratora może jednak wynikać wówczas z pewnej utrwalonej praktyki. Kluczowe dla zidentyfikowania administratora w takim przypadku mogą być tradycyjne role, ukształtowane w ramach przyjętych praktyk np.: pracodawca w odniesieniu do danych dotyczących jego pracowników, wydawca w odniesieniu do danych dotyczących abonentów, stowarzyszenie w odniesieniu do danych dotyczących jego członków lub osób wspierających.[10]

  1. Kontrola nad przetwarzaniem danych wynikająca z faktycznego wpływu

Ostatnie z kryteriów odnosi się już bezpośrednio do oceny okoliczności danego przypadku. Wynika to z faktu, iż brak jest przepisów szczególnych regulujących kwestię administrowania danymi lub ich gromadzenia oraz nie wykształciła się żadna praktyka w tym zakresie. W większości takich przypadków analizę będziemy rozpoczynać od oceny stosunków umownych zachodzących pomiędzy podmiotami występującymi w procesie przetwarzania danych osobowych. Podkreślenia wymaga, że przydzielenie odpowiedniego statusu (administratora lub podmiot przetwarzający) poszczególnym stronom umowy, winno być zawsze zweryfikowane z faktycznym poziomem kontroli nad przetwarzaniem danych sprawowanym przez te podmioty. To ostatnie kryterium zdaniem autora winno mieć charakter wiążący przy określaniu administratora. Podmiotu, który nie ma prawnej ani faktycznej kontroli nad określaniem celu i sposobu przetwarzania danych osobowych, nie można uważać za administratora danych.

Określanie celów i sposobów przetwarzania danych

Uwzględniając powyższe, zasadnym pozostaje wyjaśnienie pojęcia cele i sposoby przetwarzania danych, wykorzystywanego w definicji administratora w art. 4 pkt 7 RODO. Jak trafnie wskazano w przytoczonej opinii Grupy Roboczej Art. 29 określanie celów i sposobów, jest niczym innym jak podejmowaniem decyzji o tym „dlaczego” oraz „jak” przetwarzane będą dane osobowe w określonej sytuacji.

Podkreślenia wymaga, że określenie sposobów przetwarzania danych nie powinno być łączone jedynie z podjęciem decyzji odnośnie środków technicznych stosowanych w procesie przetwarzania. Określenie sposobów przetwarzania danych obejmuje oprócz kwestii technicznych również aspekty organizacyjne oraz elementy zasadnicze samego przetwarzania. Do tej ostatniej grupy zaliczymy następujące zagadnienia: jakiego rodzaju dane się przetwarza?, jak długo dane będą przetwarzane?, jakie osoby trzecie mają dostęp do tych danych?, kiedy usuwa się dane?, kto ma dostęp do danych?. Należy zgodzić się z tezą przedstawioną w powoływanej opinii Grupy Roboczej Art. 29, że określenie wyżej wymienionych elementów zasadniczych w zakresie sposoby przetwarzania danych jest wyłącznym uprawnieniem administratora. W pozostałym zakresie tj. podjęcia decyzji odnośnie stosowanych konkretnych środków technicznych oraz organizacyjnych może ona zostać delegowana na podmiot przetwarzający (np. w zakresie stosowanego sprzętu komputerowego lub oprogramowania). Podkreślenia jednak wymaga, że przyjęte środki techniczne i organizacyjne powinny być adekwatne dla osiągnięcia celów przetwarzania, które to zaś są określane wyłącznie przez administratora.[11]

Przez cel przetwarzania należy zaś rozumieć zamierzony rezultat, efekt, określonego działania (przetwarzania danych osobowych). Według art. 5 ust. 1 lit. b RODO, cel ten winien być określony w sposób konkretny, wyraźny, prawnie uzasadniony i nie powinien podlegać swobodnej zmianie w trakcie czynności przetwarzania danych.[12] Ktokolwiek podejmuje tę decyzję jest (faktycznie) administratorem danych. Jeżeli zatem podmiot przetwarzający będzie miał wpływ na określenie celów lub wykorzystywać będzie dane osobowe dla osiągnięcia własnych celów, co do zasady powinien on zostać uznany za odrębnego administratora danych.

Podsumowując, należ wskazać, że w sytuacji, w której żaden z charakterystycznych elementów wymienionych w ramach niniejszego artykułu nie znajdzie zastosowania przy ocenie określonego podmiotu, brak będzie podstaw do określania go mianem administratora danych. Oznacza to zatem, że będzie on podmiotem przetwarzającym dane na zlecenie administratora, co zaś przesądzi o konieczności zawarcia umowy powierzenia z art. 28 RODO.

[1] K. Witkowska – Nowakowska [w:] E. Bielak – Jomaa, D. Lubasz, RODO. Ogólne Rozporządzenie O Ochronie Danych. Komentarz, źródło Lex

[2] Sakowska- Baryła Ogólne rozporządzenie o ochronie danych osobowych. Komentarz 2018, wyd. 1, źródło Legalis

[3] K. Witkowska – Nowakowska [w:] E. Bielak – Jomaa, D. Lubasz, RODO. Ogólne Rozporządzenie O Ochronie Danych. Komentarz, źródło Lex

[4] S. Włodyka (red.), Prawo umów handlowych, t. 5 Warszawa 2006, s. 35-36

[5] A.Krasuski: Outsourcing danych osobowych w działalności przedsiębiorstw, Warszawa 2010; str. 17-18

[6] Litwiński, Barta, Kawecki: Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz 2018, źródło Legalis

[7] Litwiński, Barta, Kawecki: Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych., Komentarz 2018, źródło Legalis

[8] Sakowska- Baryła Ogólne rozporządzenie o ochronie danych osobowych. Komentarz 2018, wyd. 1, źródło Legalis

[9] Opinia nr 00264/10/PL WP 169 z dnia 16 lutego 2010 r. str. 12

[10] Opinia nr 00264/10/PL WP 169 z dnia 16 lutego 2010 r. str. 12

[11] Opinia nr 00264/10/PL WP 169 z dnia 16 lutego 2010 r. str. 15-16

[12] Sakowska- Baryła Ogólne rozporządzenie o ochronie danych osobowych. Komentarz 2018, wyd. 1, źródło Legalis

Autor: Adw. Łukasz Pociecha, Ekspert ds. ochrony danych, ODO 24. Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2. Audytor wiodący (ISO/IEC 27001).

Autopromocja

REKLAMA

Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

QR Code
Moja firma
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Urlop od płacenia składek ZUS dla mikroprzedsiębiorców. Nowe rozwiązania coraz bliżej?
10 maja 2024

Sejm uchwalił ustawę o tzw. wakacjach składkowych. Nowe przepisy są skierowane do mikroprzedsiębiorców, wpisanych do CEIDG, którzy ubezpieczają do 10 osób, a ich roczny obrót nie przekracza 2 mln euro. Teraz ustawa trafi do Senatu.
Jest decyzja Rady Polityki Pieniężnej w sprawie stóp procentowych. Ile wynoszą?
09 maja 2024

Rada Polityki Pieniężnej na posiedzeniu w dn. 8-9 maja 2024 r. utrzymała wszystkie stopy procentowe NBP na niezmienionym poziomie, referencyjna wynosi nadal 5,75 proc. - podał w komunikacie bank centralny.
Polacy już nie oglądają telewizji?
09 maja 2024

Polacy coraz rzadziej oglądają telewizję, a coraz częściej wybierają platformy streamingowe. Według ekspertów to te oferujące treści sportowe będą wybierane najczęściej. 
Co to jest sztuka cyfrowa i dlaczego warto w nią inwestować
09 maja 2024

– Dzięki łączeniu sztuki i nowych technologii możemy dziś pokazać w każdym miejscu na Ziemi wybitnych polskich artystów i nasz wyjątkowy kraj. To również absolutny strzał w dziesiątkę dla branży inwestycyjnej! – mówi Tomasz Jaworski, promotor Polski na świecie, mecenas sztuki, kolekcjoner, Prezes grupy innowacyjnych projektów SMARTVerum.

REKLAMA

Brak chętnych do pracy. Restaurator oferuje prawie 1300 zł za pomoc w znalezieniu kelnera
08 maja 2024

Sezon letni jeszcze się nie rozpoczął, a w branży gastronomicznej i hotelowej już, tak jak co roku, brakuje pracowników. Właściciel bistro w Aoście na północy Włoch oferuje bon wartości 300 euro osobie, która pomoże mu znaleźć kelnera. 
Ogromne zmiany na rynku pracy w ciągu najbliższych 5 lat
07 maja 2024

Najbliższe 5 lat na rynku pracy ma przynieść ogromne zmiany. Według Adecco zniknie 83 miliony miejsc pracy, a na ich miejsce powstanie jedynie 69 milionów innych. Jakie posady są zagrożone? 
Nowa usługa finansowa dla prowadzących działalność gospodarczą: gotówka na niski procent
07 maja 2024

Teraz gotówka na niski procent lub przy spełnieniu dodatkowych warunków całkowicie nieoprocentowana, staje się nową usługą dla przedsiębiorców korzystających w mikrofaktoringu lub dopiero mających w planach skorzystanie z takiego instrumentu. W uproszczeniu ten nowy produkt przypomina zaliczkę tytułem wpływów z przyszłej faktury i pozwala na zachowanie płynności finansowej w okresie gdy jeszcze produkt nie został sprzedany a więc i faktura nie może być wystawiona.
Wartościowe środowisko pracy - czym jest, jak je stworzyć?
07 maja 2024

Dobra atmosfera w pracy przedkłada się na lojalność pracowników, ich motywację i zaangażowanie. Jak zapewnić pracownikom najlepsze employee journey? 

REKLAMA

Jak Nvidia może zyskać na wartości dzięki inwestorom w akcje memy
07 maja 2024

Dzięki fantastycznemu rocznemu zwrotowi, przekraczającemu obecnie 220%, Nvidia stałą się jedną z najczęściej dyskutowanych spółek w ostatnim okresie i dowodem na to, że rynek technologiczny trzyma się dobrze. Czy spółka należy również do kategorii akcji memów, czy raczej jej wycena jest oparta o solidne podstawy?
Drogi prąd będzie przyczyną zahamowania sztucznej inteligencji?
07 maja 2024

Wykorzystanie sztucznej inteligencji to duże koszty energetyczne. Czy bez inwestycji w strukturę centrodanową i energetyczną rozwój AI wyhamuje? 

REKLAMA