Ochrona danych osobowych
Pytanie o to, czy mamy do czynienia z powierzeniem czy udostępnieniem danych osobowych, powraca jak bumerang za każdym razem, gdy przekazujemy dane innemu podmiotowi. Poprawne określenie tej formy przekazywania jest kluczowe dla zapewnienia zgodności z przepisami RODO. Różne obowiązki nakładane są na nas w zależności od tego, czy powierzamy czy udostępniamy dane.
Podstawą jest zdefiniowanie ról – kto jest kim?
W procesie przekazywania danych osobowych biorą udział co najmniej dwa podmioty. Kluczowym punktem wyjścia przy określaniu formy przekazywania jest poprawne zdefiniowanie ról tych podmiotów. Mogą one występować jako:
- administrator, lub
- podmiot przetwarzający (tzw. procesor).
Administrator danych osobowych
Administrator to podmiot, który ustala cele i sposoby przetwarzania danych osobowych. Ma realny wpływ na to, co dzieje się z danymi osobowymi, określając cele gromadzenia i dalszego przetwarzania danych oraz decydując, kiedy i komu przekazać dane. Wszystko to musi odbywać się zgodnie z obowiązującymi przepisami prawa.
Przetwarzanie danych osobowych przez administratora odbywa się na podstawie co najmniej jednej z przesłanek legalizujących, które zostały określone w art. 6 ust. 1 RODO (dla danych zwykłych) oraz art. 9 ust. 2 RODO (dla szczególnych kategorii danych), a także z poszanowaniem zasad określonych w art. 10 RODO w przypadku danych dotyczących wyroków skazujących i czynów zabronionych.
Oprócz konieczności posiadania odpowiedniej podstawy prawnej przetwarzania, administrator musi spełniać szereg innych obowiązków określonych w przepisach RODO, takich jak dopełnienie obowiązku informacyjnego, realizacja praw osób, których dane dotyczą,wdrożenie odpowiednich środków bezpieczeństwa oraz zgłaszanie naruszeń. Z kolei procesor jest podmiotem, który przetwarza dane osobowe w imieniu administratora. Robi to wyłącznie w zakresie i celu określonym przez administratora danych.
Podmiot przetwarzający – procesor
Prawa i obowiązki procesora w zakresie przetwarzania danych zasadniczo określa umowa powierzenia przetwarzania danych osobowych. Katalog przesłanek legalizujących nie stanowi dla niego istoty, gdyż to umowa powierzenia stanowi podstawę prawną przetwarzania danych osobowych przez niego.
W zależności od konfiguracji tych dwóch opisanych wyżej ról będziemy mieli do czynienia albo z powierzeniem danych, albo z ich udostępnieniem. Udostępnienie danych osobowych stanowi formę ich przetwarzania, co oznacza, że administrator musi dysponować odpowiednią podstawą prawną.
Udostępnianie danych osobowych
Skutkiem udostępnienia danych osobowych jest utrata kontroli nad procesem ich przetwarzania. W chwili udostępnienia administrator traci możliwość decydowania o celach i sposobach przetwarzania danych, które przechodzą pod kontrolę odbiorcy. To oznacza, że odpowiedzialność za przetwarzanie danych przechodzi z jednego podmiotu na drugi w momencie przekazania danych.
Podczas udostępniania danych należy pamiętać o kluczowych kwestiach, tj. posiadaniu odpowiedniej podstawy prawnej udostępnienia, która może wynikać z przepisów prawa, umowy, zgody osoby, czy innych przesłanek legalizujących określonych w art. 6 ust. 1 lub art. 9 ust. 2 RODO. Ważnym przedsięwzięciem jest również realizacja obowiązku informacyjnego, który nakłada na administratora konieczność poinformowania osób, których dane dotyczą, o odbiorcach danych osobowych lub kategoriach odbiorców, jeśli istnieją. Należy dodatkowo zadbać o bezpieczne przekazanie danych, zachowując zasady integralności i poufności.
Nowy administrator danych osobowych
Podmiot przyjmujący udostępnione dane osobowe staje się ich nowym administratorem, musi zwrócić uwagę na posiadanie podstawy prawnej przetwarzania danych, zgodnie z art. 6 ust. 1 lub art. 9 ust. 2 RODO. Powinien zadbać o dopełnienie obowiązku informacyjnego wobec osób, których dane dotyczą, informując o źródle pozyskania danych osobowych zgodnie z terminami określonymi w art. 14 RODO.
Najczęstsze przypadki udostępnienia danych osobowych wiążą się z koniecznością
spełnienia obowiązków nakładanych na administratora przez przepisy prawa. Takie
udostępnienie może mieć miejsce na dwa sposoby – z inicjatywy administratora, w celu realizacji określonych obowiązków przekazywania danych osobowych, najczęściej w formie przekazywania cyklicznego, na przykład przekazywanie danych osobowych do ZUS, urzędów skarbowych itp. lub na wniosek podmiotu uprawnionego do otrzymania danych osobowych, na przykład w odpowiedzi na żądanie organów ścigania.
W przypadku udostępnienia związanego z realizacją obowiązku prawnego,
administrator musi szczególnie uważać na zakres przekazywanych danych. Często organizacje, mając na uwadze możliwe konsekwencje braku realizacji obowiązku, skłonne są przekazywać dane w zbyt szerokim zakresie. Jednakże, zgodnie z zasadą minimalizacji danych (art. 5 ust. 1 lit. c) RODO), dane osobowe przetwarzane (w tym udostępniane) powinny być adekwatne, stosowne i ograniczone do minimum niezbędnego do osiągnięcia celów.
Dodatkowe przypadki udostępnienia danych
Dodatkowe przypadki udostępniania danych to:
- udostępnienie danych osobowych za zgodą osoby, której dane dotyczą. Często występuje to w kontekście budowania i przekazywania baz danych do celów marketingowych, a także w niektórych procesach rekrutacyjnych, na przykład przekazywanie danych zainteresowanego kandydata do innej spółki z grupy kapitałowej;
- udostępnianie danych osobowych w ramach grupy kapitałowej. W ramach grup, kapitałowych często dochodzi do udostępnienia danych, na przykład danych pracowników lub klientów, w celu realizacji prawnie uzasadnionego interesu, takiego jak cele administracyjne czy statystyczne. Przykładowo, może to obejmować przekazywanie zestawień stanowisk czy wynagrodzeń pracowników, lub zestawień klientów obsługiwanych przez różne spółki w grupie.
Powierzenie danych osobowych
Powierzenie przetwarzania danych osobowych oznacza upoważnienie przez administratora innego podmiotu do przetwarzania danych w jego imieniu. W przypadku powierzenia mamy zatem do czynienia z administratorem, który zleca procesorowi przetwarzanie danych osobowych w jego imieniu, na jego rzecz i zgodnie z jego wytycznymi.
Administrator zachowuje pełną kontrolę nad danymi, nie tracąc nad nimi kontroli. Posiada władzę nad tym, co dzieje się z przekazanymi danymi i może w każdej chwili zażądać ich zwrotu lub usunięcia. Z drugiej strony, procesor nie uzyskuje kontroli nad danymi i nie może samodzielnie decydować o celach i sposobach przetwarzania danych, które mu zostały przekazane.
Ramę przetwarzania powierzonych danych osobowych określa umowa powierzenia.
Dla procesora stanowi to podstawę przetwarzania, a dla administratora podstawę przekazania danych. Przetwarzanie danych bez tej umowy narusza nie tylko zobowiązania kontraktowe, ale również przepisy RODO, co niesie za sobą ryzyko nałożenia kary finansowej przez organ nadzoru.
O czym należy pamiętać przy powierzaniu danych?
W przypadku powierzania przetwarzania danych, administrator musi pamiętać o:
- posiadaniu odpowiedniej podstawy prawnej przetwarzania danych. Nie można powierzyć przetwarzania danych, jeśli administrator nie ma podstawy prawnej do przetwarzania tych danych. To narusza zasadę, że nie można przekazać więcej niż się posiada;
- prawidłowym wypełnieniu obowiązku informacyjnego. Podobnie jak w przypadku udostępniania danych osobowych, administrator musi poinformować osobę, której dane dotyczą, o przetwarzaniu jej danych i o odbiorcach tych danych, jeśli istnieją;
- zawarciu umowy powierzenia przetwarzania danych osobowych. Umowa ta stanowi podstawę prawną przekazania danych osobowych. Bez jej zawarcia, przekazanie danych może zostać uznane za naruszenie przepisów RODO, co wiąże się z odpowiedzialnością karną;
- bezpiecznym przekazaniu danych. Podczas przekazywania danych procesorowi, administrator danych musi zapewnić stosowne środki bezpieczeństwa, z poszanowaniem zasad integralności i poufności danych.
Procesor przyjmujący dane – na co powinien zwrócić uwagę?
Procesor przyjmujący dane do przetwarzania powinien szczególnie zwrócić uwagę na:
- zawarcie umowy powierzenia przetwarzania danych osobowych. Umowa ta stanowi podstawę prawną przetwarzania danych i jest kluczowa dla określenia, czy podmiot przetwarzający ma prawo do przetwarzania danych osobowych. Niestety, zdarza się, że podmioty przetwarzające niechętnie podpisują takie umowy, błędnie uważając je za obciążające wyłącznie dla administratora. Jednakże brak umowy powierzenia sprawia, że procesor przetwarza dane jako podmiot nieuprawniony, co niesie za sobą ryzyko sankcji przewidzianych w RODO, a także w ustawie o ochronie danych, włączając w to kary finansowe oraz odpowiedzialność karną. Ponadto, dobrze skonstruowana umowa powierzenia może przynieść korzyści zarówno administratorowi, jak i procesorowi, uwzględniając zarówno obowiązki, jak i prawa podmiotu przetwarzającego. Zamiast traktować umowę powierzenia jako dodatkowe obciążenie, procesor powinien postrzegać ją jako szansę na określenie wzajemnych relacji z administratorem, przynoszącą korzyści obu stronom;
- uzupełnienie rejestru kategorii czynności przetwarzania danych osobowych. Każdy podmiot przetwarzający jest zobowiązany prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora (art. 30 ust. 2 RODO). Po zawarciu umowy powierzenia, procesor powinien dokonać aktualizacji prowadzonego przez siebie rejestru.
Przykłady powierzenia przetwarzania danych osobowych
Przykłady praktyczne powierzenia przetwarzania danych osobowych:
- outsourcing usług: Przekazanie przetwarzania danych osobowych często ma miejsce w przypadku outsourcingu. Typowym przykładem jest outsourcing kadr i płac, gdzie pracodawca zleca przetwarzanie danych osobowych swoich pracowników innemu podmiotowi w celu realizacji obowiązków związanych z zatrudnianiem;
- podmioty przetwarzające mogą również otrzymywać dokumenty zawierające dane osobowe do ich archiwizacji lub niszczenia;
- hosting serwerów, gdzie umowa powierzenia jest niezbędna, szczególnie gdy dostawca hostingu ma dostęp do danych;
- benefity: pracodawcy oferujący swoim pracownikom różne benefity, takie jak karty sportowe czy dodatkową opiekę medyczną, również muszą przekazywać dane osobowe w celu gromadzenia informacji o osobach korzystających z tych benefitów. W tym przypadku pracodawca występuje jako podmiot przetwarzający.
Podsumowując, wymiana danych osobowych jest obecnie powszechna, nawet w najmniejszym stopniu nie można uniknąć przekazywania danych poza własną organizację. Z tego powodu ważne jest, aby każde przekazanie danych poddać szczegółowej analizie, aby zapewnić zgodność z RODO.
Dowiedz się więcej! Zobacz odcinek: RODO w zamówieniach publicznych. Jak dbać o bezpieczeństwo danych osobowych? i subskrybuj kanał PRZETARGowa na YouTube! 👇