REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Powierzenie przetwarzania danych osobowych - czym dokładnie jest i kiedy je stosujemy?

Przetwarzanie danych osobowych - czym dokładnie jest i kiedy je stosujemy? /Fot. Fotolia
Przetwarzanie danych osobowych - czym dokładnie jest i kiedy je stosujemy? /Fot. Fotolia

REKLAMA

REKLAMA

Przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako RODO lub rozporządzenie) regulują m.in. kwestie powierzenia przetwarzania danych osobowych przez administratora. Rozpoczęcie obowiązywania przepisów unijnego rozporządzenia, wywołało tendencję do bezrefleksyjnego zawierania umów powierzenia przetwarzania danych w każdym przypadku, w którym dochodzi do przekazania danych przez administratora poza jego organizację do innego podmiotu. Niejednokrotnie jednak zawieranie tego typu umów jest całkowicie bezzasadne.

Przed podjęciem decyzji odnośnie konieczności zawarcia umowy powierzenia, ocenie winien zostać poddany stan faktyczny, w ramach którego funkcjonują oba podmioty, pomiędzy którymi dochodzić będzie do przepływu danych. W praktyce niejednokrotnie, może okazać się, że zawieranie umowy powierzenia przetwarzania danych nie będzie konieczne, ponieważ role dwóch podmiotów uczestniczących w procesie przekazania danych ocenić trzeba będzie jako działanie niezależnych administratorów. Zaznaczyć w tym miejscu trzeba, że sama umowa powierzenia, o której mowa w art. 28 ust. 3 RODO, nie ma również charakteru konstytuującego proces powierzenie przetwarzania danych. Oznacza to, że samej umowy nie można uznać za pewne warunkujące czy nawet kreujące stosunek powierzenia.[1] Należy zgodzić się w tym miejscu z tezą, według której stosunek powierzenia przetwarzania danych istnieć może niezależnie od zawarcia umowy powierzenia. Jej brak zaś, winien być rozpatrywany jako brak formalny skutkujący naruszeniem przepisów unijnego rozporządzenia.[2] Określenie analizowanego stanu faktycznego jako powierzenia przetwarzania danych osobowych, ma zatem charakter obiektywny. Istnieją jednak pewne kryteria, które pomogą nam w przeprowadzeniu stosownej oceny w tym zakresie.

REKLAMA

Polecamy: Kodeks pracy 2019 - komentarz

Powierzenie przetwarzania danych a udostępnienie danych osobowych

REKLAMA

Regulacje prawne z zakresu ochrony danych osobowych, nie precyzują dokładnie czym tak naprawdę jest powierzenia przetwarzania danych osobowych. Istnieją jednak przepisy, które pozwalają na określenie pewnych cech charakterystycznych tej instytucji. Art. 4 pkt 8 RODO zawiera definicję samego podmiotu przetwarzającego, przez który należy rozumieć osobę fizyczną lub prawną, organ publicznym jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Z przywołanego przepisy wynika, że najistotniejszą cechą pozwalającą na określenie danego podmiotu mianem podmiotu przetwarzającego, jest to, iż działa on na zlecenie administratora (w jego imieniu i na jego rzecz). Słusznym zatem zdaje się poglądem, zgodnie z którym celniejszym określeniem takiego podmiotu, byłby zwrot: „podmiot przetwarzający na zlecenie”.[3] Taki zabieg pozwoliłby na faktyczne odróżnienie podmiotu zewnętrznego (nienależącego do struktury administratora) przetwarzającego dane w imieniu i na rzecz administratora, od np. pracowników, którzy również w ramach swoich obowiązków mogą przetwarzać dane osobowe w imieniu administratora.

Przetwarzanie danych osobowych w imieniu administratora będzie miało miejsce w sytuacji, gdy podmiot zewnętrzny świadczy pewne usługi na rzecz administratora, jednak nie musi to być główne zadanie zlecone podmiotowi zewnętrznemu. Czynności polegające na przetwarzaniu danych osobowych mogą być częścią składową lub mogą być bezpośrednio powiązane z wykonywaniem innych usług świadczonych przez podmiot zewnętrzny na rzecz administratora. Z powyższego wynika, iż istota powierzenia przetwarzania danych osobowych jest ściśle powiązania z pojęciem outsourcingu. Przez pojęcie outsourcingu należy rozumieć zlecenie podmiotom zewnętrznym, wyspecjalizowanym w określonym zakresie, realizacji procesów niezbędnych do funkcjonowania podmiotu zlecającego. Ideą takich działań jest realizacji określonego procesu w sposób efektywniejszy, niż miałoby to miejsce w wykorzystaniem jedynie zasobów samego podmiotu zlecającego. Innymi słowy, pojęcie outsourcingu winniśmy utożsamiać z rodzajem umowy w przedsiębiorstwie polegającej na tym, że czynności, które mogą być wykonywane przez sam podmiot lub jego pracowników, powierza się do wykonania podmiotowi trzeciemu.[4] Celem outsourcingu jest zatem delegacja pewnych obowiązków z jednego przedsiębiorcy na drugi podmiot w sposób sformalizowany tj. na podstawie umowy zawartej pomiędzy tymi podmiotami.[5]

Zobacz: RODO w firmie

Dalszy ciąg materiału pod wideo

REKLAMA

W tym miejscu istotnym wydaje się również porównanie definicji administratora danych oraz podmiotu przetwarzającego, co pozwoli na określenie kolejnej istotnej cechy podmiotu przetwarzającego. Art. 4 pkt. 9 RODO wskazuje wprost, iż to administrator ustala cele i sposoby przetwarzania danych osobowych. Z powyższego wynika, że podstawową cechą powierzenia przetwarzania danych osobowych, jest to, że podmiot przetwarzający nie posiada pełnej swobody w zakresie działań podejmowanych na danych osobowych otrzymanych od administratora. Można w tym miejscu postawić tezę, iż rola procesora ma charakter wtórny, gdyż podejmuje on swoje działania na danych osobowych dopiero po tym jak sam administrator określi cel jak i sposób ich przetwarzania.

Mając na względzie powyższe, powierzeniem przetwarzania danych osobowych, możemy określić sytuację, gdy administrator, chcący skorzystać z usług zewnętrznego podmiotu przekazuje mu dane osobowe, za które jest odpowiedzialny. Jednocześnie działania tego podmiotu zewnętrznego związane z przetwarzaniem danych osobowych są ściśle związane z decyzją administratora, który to jest wyłącznie uprawniony do sprecyzowania celów i sposobów przetwarzania tych danych. Wszelkie czynności podejmowane przez podmiot zewnętrzny wykonywane są w imieniu i na rzecz administratora danych, na którego polecenie działa. Wszelkie istotne kwestie powierzenia przetwarzania danych osobowych winny zaś zostać uregulowane w umowie zawartej pomiędzy podmiotem przetwarzającym a administratorem (zgodnie z art. 28 RODO).

Jak wspominano na wstępie niniejszego artykułu, przekazywanie danych pomiędzy dwoma podmiotami może być również zakwalifikowane jako udostępnienie tych danych. Podobnie jak przy pojęciu powierzenia przetwarzania danych osobowych, przepisy nie wprowadzają definicji udostępnienia danych osobowych. Niezależnie od powyższego pojęcie to jest powszechnie stosowane w praktyce. Poprzez udostępnienie danych należy rozumieć nic innego jak jedną z form przetwarzania danych osobowych, o czym stanowi sam art. 4 pkt. 2 RODO wskazując, że przetwarzanie oznacza operacje lub zestaw operacji na danych osobowych takich jak m.in. rozpowszechnianie lub innego rodzaju udostępnianie. Zgodnie z przyjętymi poglądami przedstawicieli doktryny, cechą charakterystyczną dla tej formy przetwarzania jest to, że dochodzi do niej w sytuacji, gdy dane przekazywane są pomiędzy dwoma podmiotami samodzielnie decydującymi o celach i środkach przetwarzania danych osobowych.[6] W zw. z powyższym w przypadku tym odbiorcą danych będzie jedynie odrębny administrator. Należy zwrócić uwagę, że przy udostępnieniu danych, przepisy RODO nie przewidują szczególnych zasad jego wykonania np. konieczność zawarcie stosownej umowy. Charakter czynności udostępnienia danych należy zatem oceniać jako czynność faktyczną, co oznacza, że może ono nastąpić w dowolny sposób skutkujący uzyskaniem przez odbiorcę dostępu do danych osobowych, umożliwiającego mu rzeczywiste samodzielne podejmowanie decyzji odnośnie celów i sposobów przetwarzania tych danych.[7] Nie możemy zatem mówić o udostępnieniu danych w relacji pomiędzy administratorem danych a podmiotem przetwarzającym w rozumieniu art. 4 pkt. 8 RODO, gdyż jak to wykazano już wcześniej, ten ostatni działania tylko i wyłącznie w zakresie celów i sposób określonych przez samego administratora.

Analiza stanu faktycznego pod kątem konieczności zawarcia umowy powierzenia danych osobowych

Kwalifikowanie podmiotów do jednej z dwóch kategorii tj. administrator czy też podmiot przetwarzający ma charakter obiektywny i następuje w związku z konkretnymi okolicznościami, podejmowanymi decyzjami gospodarczymi, oceną, kto podejmuje decyzje co do celu przetwarzania danych osobowych oraz sposobów, jakimi się ono odbywa.[8] Prawidłowe określenie podmiotów uczestniczących w analizowanym procesie przetwarzania danych, pozwoli zaś na zidentyfikowanie czy w jego ramach dochodzi do powierzenia przetwarzane danych osobowych i w zw. z tym czy koniecznym jest zawieranie umowy wymaganej przez art. 28 RODO.

Dla prawidłowego zakwalifikowania poszczególnych podmiotów w ramach wyżej wymienionych kategorii, koniecznym jest ich przeanalizowanie pod kątem cech charakterystycznych dla odrębnego administratora. W tym zakresie pomocna będzie opinia 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający” 00264/10/PL WP 169 z dnia 16 lutego 2010 r. wydana przez Grupę Roboczą Art. 29. Pomimo, iż została ona wydana pod rządami starej dyrektywy z zakresu ochrony danych 95/46/WE, zachowuje ona swą aktualność w zakresie wyjaśnienia poruszonych w nich pojęć.

Wskazanie w relacji pomiędzy dwoma podmiotami tego, który określa cele i sposoby przetwarzania danych, powinno być oparte o okoliczności zarówno prawne jak i faktyczne. Z nich bowiem może wynikać zależność jednego podmiotu od drugiego bądź też samodzielność obu podmiotów. Przywołana opinia Grupy Roboczej Art. 29, wymienia elementy, które mogę być kluczowe dla wskazania administratora oraz podmiotu przetwarzającego:

  1. Kontrola nad przetwarzanymi danymi wynikająca z wyraźnych kompetencji prawnych

Dotyczy to sytuacji, gdy administrator danych lub szczegółowe kryteria potrzebne do jego określenia wynikają wprost z obowiązujących przepisów prawa. Bezpośrednie określenie w przepisie prawa, iż konkretny podmiot jest administratorem danych nie powinno budzić wątpliwości. Trzeba bowiem zwrócić uwagę, iż samo RODO wskazuje, że przepisy w prawie Unii lub prawie państwa członkowskiego, mogą wprost wyznaczać administratora danych bądź też mogą precyzować konkretne kryteria wyznaczenia administratora (patrz. art. 4 pkt. 7 RODO).

W tym miejscu można również wskazać sytuację, w której przepisy prawa nakładają na określony podmiot jedynie obowiązek przetwarzania danych osobowych. Podmioty, na które został nałożony obowiązek gromadzenia określonego zakresu danych osobowych winny być uznawane za odrębnych administratorów.[9]

  1. Kontrola nad przetwarzanymi danymi wynikająca z dorozumianej kompetencji

Z przesłanką tą możemy się spotkać w sytuacji, w której przepis prawa nie określa wprost roli podmiotu jako administratora ani nie wskazuje na obowiązek gromadzenia przez określony podmiot danych osobowych. Rola podmiotu jako administratora może jednak wynikać wówczas z pewnej utrwalonej praktyki. Kluczowe dla zidentyfikowania administratora w takim przypadku mogą być tradycyjne role, ukształtowane w ramach przyjętych praktyk np.: pracodawca w odniesieniu do danych dotyczących jego pracowników, wydawca w odniesieniu do danych dotyczących abonentów, stowarzyszenie w odniesieniu do danych dotyczących jego członków lub osób wspierających.[10]

  1. Kontrola nad przetwarzaniem danych wynikająca z faktycznego wpływu

Ostatnie z kryteriów odnosi się już bezpośrednio do oceny okoliczności danego przypadku. Wynika to z faktu, iż brak jest przepisów szczególnych regulujących kwestię administrowania danymi lub ich gromadzenia oraz nie wykształciła się żadna praktyka w tym zakresie. W większości takich przypadków analizę będziemy rozpoczynać od oceny stosunków umownych zachodzących pomiędzy podmiotami występującymi w procesie przetwarzania danych osobowych. Podkreślenia wymaga, że przydzielenie odpowiedniego statusu (administratora lub podmiot przetwarzający) poszczególnym stronom umowy, winno być zawsze zweryfikowane z faktycznym poziomem kontroli nad przetwarzaniem danych sprawowanym przez te podmioty. To ostatnie kryterium zdaniem autora winno mieć charakter wiążący przy określaniu administratora. Podmiotu, który nie ma prawnej ani faktycznej kontroli nad określaniem celu i sposobu przetwarzania danych osobowych, nie można uważać za administratora danych.

Określanie celów i sposobów przetwarzania danych

Uwzględniając powyższe, zasadnym pozostaje wyjaśnienie pojęcia cele i sposoby przetwarzania danych, wykorzystywanego w definicji administratora w art. 4 pkt 7 RODO. Jak trafnie wskazano w przytoczonej opinii Grupy Roboczej Art. 29 określanie celów i sposobów, jest niczym innym jak podejmowaniem decyzji o tym „dlaczego” oraz „jak” przetwarzane będą dane osobowe w określonej sytuacji.

Podkreślenia wymaga, że określenie sposobów przetwarzania danych nie powinno być łączone jedynie z podjęciem decyzji odnośnie środków technicznych stosowanych w procesie przetwarzania. Określenie sposobów przetwarzania danych obejmuje oprócz kwestii technicznych również aspekty organizacyjne oraz elementy zasadnicze samego przetwarzania. Do tej ostatniej grupy zaliczymy następujące zagadnienia: jakiego rodzaju dane się przetwarza?, jak długo dane będą przetwarzane?, jakie osoby trzecie mają dostęp do tych danych?, kiedy usuwa się dane?, kto ma dostęp do danych?. Należy zgodzić się z tezą przedstawioną w powoływanej opinii Grupy Roboczej Art. 29, że określenie wyżej wymienionych elementów zasadniczych w zakresie sposoby przetwarzania danych jest wyłącznym uprawnieniem administratora. W pozostałym zakresie tj. podjęcia decyzji odnośnie stosowanych konkretnych środków technicznych oraz organizacyjnych może ona zostać delegowana na podmiot przetwarzający (np. w zakresie stosowanego sprzętu komputerowego lub oprogramowania). Podkreślenia jednak wymaga, że przyjęte środki techniczne i organizacyjne powinny być adekwatne dla osiągnięcia celów przetwarzania, które to zaś są określane wyłącznie przez administratora.[11]

Przez cel przetwarzania należy zaś rozumieć zamierzony rezultat, efekt, określonego działania (przetwarzania danych osobowych). Według art. 5 ust. 1 lit. b RODO, cel ten winien być określony w sposób konkretny, wyraźny, prawnie uzasadniony i nie powinien podlegać swobodnej zmianie w trakcie czynności przetwarzania danych.[12] Ktokolwiek podejmuje tę decyzję jest (faktycznie) administratorem danych. Jeżeli zatem podmiot przetwarzający będzie miał wpływ na określenie celów lub wykorzystywać będzie dane osobowe dla osiągnięcia własnych celów, co do zasady powinien on zostać uznany za odrębnego administratora danych.

Podsumowując, należ wskazać, że w sytuacji, w której żaden z charakterystycznych elementów wymienionych w ramach niniejszego artykułu nie znajdzie zastosowania przy ocenie określonego podmiotu, brak będzie podstaw do określania go mianem administratora danych. Oznacza to zatem, że będzie on podmiotem przetwarzającym dane na zlecenie administratora, co zaś przesądzi o konieczności zawarcia umowy powierzenia z art. 28 RODO.


[1] K. Witkowska – Nowakowska [w:] E. Bielak – Jomaa, D. Lubasz, RODO. Ogólne Rozporządzenie O Ochronie Danych. Komentarz, źródło Lex

[2] Sakowska- Baryła Ogólne rozporządzenie o ochronie danych osobowych. Komentarz 2018, wyd. 1, źródło Legalis

[3] K. Witkowska – Nowakowska [w:] E. Bielak – Jomaa, D. Lubasz, RODO. Ogólne Rozporządzenie O Ochronie Danych. Komentarz, źródło Lex

[4] S. Włodyka (red.), Prawo umów handlowych, t. 5 Warszawa 2006, s. 35-36

[5] A.Krasuski: Outsourcing danych osobowych w działalności przedsiębiorstw, Warszawa 2010; str. 17-18

[6] Litwiński, Barta, Kawecki: Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz 2018, źródło Legalis

[7] Litwiński, Barta, Kawecki: Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych., Komentarz 2018, źródło Legalis

[8] Sakowska- Baryła Ogólne rozporządzenie o ochronie danych osobowych. Komentarz 2018, wyd. 1, źródło Legalis

[9] Opinia nr 00264/10/PL WP 169 z dnia 16 lutego 2010 r. str. 12

[10] Opinia nr 00264/10/PL WP 169 z dnia 16 lutego 2010 r. str. 12

[11] Opinia nr 00264/10/PL WP 169 z dnia 16 lutego 2010 r. str. 15-16

[12] Sakowska- Baryła Ogólne rozporządzenie o ochronie danych osobowych. Komentarz 2018, wyd. 1, źródło Legalis

Autor: Adw. Łukasz Pociecha, Ekspert ds. ochrony danych, ODO 24. Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2. Audytor wiodący (ISO/IEC 27001).

Autopromocja

REKLAMA

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

Komentarze(0)

Pokaż:

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code
    Moja firma
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail
    Nowe przepisy: Po świętach rząd zajmie się cenami energii. Będzie bon energetyczny

    Minister klimatu i środowiska Paulina Hennig-Kloska zapowiedziała, że po świętach pakiet ustaw dotyczących cen energii trafi pod obrady rządu. Dodała też, że proces legislacyjny musi zakończyć się w pierwszej połowie maja.

    Wielkanoc 2024. Polacy szykują się na święta przed telewizorem?

    Jaka będzie tegoroczna Wielkanoc? Z badania online przeprowadzonego przez firmę Komputronik wynika, że leniwa. Polacy są zmęczeni i marzą o odpoczynku. 

    Biznes kontra uczelnie – rodzaj współpracy, korzyści

    Czy doktorat dla osób ze świata biznesu to synonim synergii? Wielu przedsiębiorców może zadawać sobie to pytanie podczas rozważań nad podjęciem studiów III stopnia. Na ile świat biznesu przenika się ze światem naukowym i gdzie należy szukać wzajemnych korzyści?

    Jak cyberprzestępcy wykorzystują sztuczną inteligencję?

    Hakerzy polubili sztuczną inteligencję. Od uruchomienia ChataGPT liczba złośliwych wiadomości pishingowych wzrosła o 1265%! Warto wiedzieć, jak cyberprzestępcy wykorzystują rozwiązania oparte na AI w praktyce.

    REKLAMA

    By utrzymać klientów tradycyjne sklepy muszą stosować jeszcze nowocześniejsze techniki marketingowe niż e-commerce

    Konsumenci wciąż wolą kupować w sklepach stacjonarnych produkty spożywcze, kosmetyki czy chemię gospodarczą, bo chcą je mieć od razu, bez czekania na kuriera. Jednocześnie jednak oczekują, że tradycyjne markety zapewnią im taki sam komfort kupowania jak sklepy internetowe.

    Transakcje bezgotówkowe w Polsce rozwijają się bardzo szybko. Gotówka jest wykorzystywana tylko do 35 proc. transakcji

    W Polsce około 2/3 transakcji jest dokonywanych płatnościami cyfrowymi. Pod tym względem nasz kraj jest w światowej czołówce - gotówka jest wykorzystywana tylko do ok. 35 proc. transakcji.

    Czekoladowa inflacja (chocoflation) przed Wielkanocą? Trzeci rok z rzędu produkcja kakao jest mniejsza niż popyt

    Ceny kakao gwałtownie rosną, ponieważ 2024 r. to trzeci z rzędu rok, gdy podaż nie jest w stanie zaspokoić popytu. Z analiz Allianz Trade wynika, że cenę za to będą płacić konsumenci.

    Kończy się najostrzejsza zima od 50 lat. Prawie 5 mln zwierząt hodowlanych zginęło z głodu w Mongolii

    Dobiegająca końca zima w Mongolii, najostrzejsza od pół wieku, doprowadziła do śmierci niemal 5 mln kóz, owiec i koni, które nie są w stanie dotrzeć do pożywienia. To duży cios w gospodarkę kraju zamieszkanego przez ok. 3,3 mln ludzi, z których ok. 300 tys. utrzymuje się z hodowli zwierząt - podkreśliło Radio Swoboda.

    REKLAMA

    Nowe technologie pomogą ograniczyć marnowanie żywności?

    Każdy długi weekend czy święta to ogromne kolejki do marketów spożywczych. Polacy, pomimo wysokich cen, znów kupią więcej jedzenia niż potrzebują a duża część trafi na śmietnik. Niegospodarne podejście do żywności jest ogromnym wyzwaniem w obliczu zmian klimatycznych i coraz większego wysiłku, jaki trzeba będzie włożyć, by ją wyprodukować. Jak wykorzystać do tego nowa technologię? 

    Słowo "siostrzeństwo" w słownikach języka polskiego?

    Sondaż przeprowadzony przez Answear.LAB wskazuje  że ponad połowa kobiet uważa, że słowo „siostrzeństwo” powinno zostać wprowadzone do słowników języka polskiego. 97 proc. zauważa i docenia sukcesy kobiet.

    REKLAMA