LexDigital

Powierzenie a udostępnienie danych osobowych

Zdefiniowanie relacji pomiędzy podmiotami może być skomplikowane. W przypadku, gdy takie ustalenia nie są zgodne ze stanem faktycznym, mogą rodzić konsekwencje i odpowiedzialność za naruszenie RODO, ale również - negatywnie wpływać na poziom ochrony prywatności osób, których dane są przetwarzane.

Powierzenie a udostępnienie danych osobowych

W tym artykule dowiesz się o:

  • kategoriach podmiotów uprawnionych do przetwarzania danych osobowych;
  • rodzajach relacji oraz różnicach między powierzeniem a udostępnieniem;
  • cechach relacji: Administrator - Administrator, Administrator - Podmiot przetwarzający.

Zobaczysz także przykłady relacji: Administrator - Administrator, Administrator - Podmiot przetwarzający, by na pewno móc zdefiniować relacje podmiotów przetwarzających prawidłowo.

kategorie podmiotów danych, przetwarzanie danych osobowych, udostępnianie danych

Kategorie podmiotów uprawnionych do przetwarzania danych osobowych

Zgodnie z przepisami ogólnego rozporządzenia o ochronie danych (RODO) organizacja może przetwarzać dane osobowe, jako jeden z dwóch kategorii podmiotów tj.

  1. Administrator (art. 4 pkt. 7 RODO) – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; lub
  2. Podmiot przetwarzający (art. 4 pkt. 8 RODO) – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

RODO nie przewiduje innej kategorii podmiotów uprawnionych do przetwarzania danych osobowych. Jednak w definicji „administratora” w art. 4 pkt 7 RODO wyodrębniona została podgrupa podmiotów, z których każdy z osobna będąc administratorem wspólnie z innymi ustala cele i sposoby przetwarzania danych jako współadministrator. Pojęcie to zostało rozwinięte w art. 26 RODO. Współadministratorzy to zatem co najmniej dwóch administratorów wspólnie ustalających cele i sposoby przetwarzania danych osobowych.

Jak wynika z definicji zawartych w RODO, istotną kwestią jest określenie celów oraz sposobów przetwarzania. Co należy rozumieć pod tymi pojęciami?

  • Cele przetwarzania - określony rezultat, do którego się zmierza, realizacja zaplanowanego zamierzenia.
  • Sposoby przetwarzania - sposób w jaki odbywa się przetwarzanie danych, za pomocą jakich środków technicznych (własnych czy cudzych, samodzielnie czy z udziałem podmiotu zewnętrznego, gdzie są przechowywane dane, w jaki sposób, w jakim terminie są usuwane, sprzęt techniczny, z którego się korzysta, stosowane zabezpieczenia). Ustalenie przez administratora sposobów przetwarzania obejmuje zatem zarówno kwestie techniczne, jak i organizacyjne.

Ustalenie ról w procesie przetwarzania danych osobowych

Określenie administratora w danym procesie przetwarzania danych jest kluczowe dla wskazania podmiotu odpowiedzialnego za zgodność przetwarzania danych osobowych z prawem, w tym za:

  • realizację wynikających z nich zasad,
  • wprowadzenie należytych zabezpieczeń oraz
  • zapewnienie wykonywania uprawnień osób, których dane dotyczą. 

Zgodnie z wytycznymi Grupy Roboczej Art. 29 w opinii 1/2010 w sprawie pojęć "administrator danych" i "podmiot przetwarzający", które w tym zakresie pozostają aktualne, w celu określenia statusu danego podmiotu powinno stosować się podejście funkcjonalne. To znaczy należy dokonać analizy całokształtu okoliczności przetwarzania danych, w szczególności należy wziąć pod uwagę następujące czynniki:

  1. który podmiot lub podmioty faktycznie decydują o tym, po co przetwarzane są dane osobowe (tj. do czego są one potrzebne i wykorzystywane),
  2. który podmiot lub podmioty faktycznie decydują o sposobie wykorzystywania danych, o formie ich pozyskiwania, ich treści i zakresie, o ich przechowywaniu, ujawnianiu oraz o środkach technicznych i organizacyjnych, przy użyciu których odbywa się przetwarzanie.
    rodzaje relacji, administrator danych osobowych, dane osobowe

Rodzaje relacji oraz różnice między powierzeniem, a udostępnieniem

Po ustaleniu statusu poszczególnych podmiotów, biorących udział w procesie przetwarzania, należy określić relację zachodzącą pomiędzy tymi podmiotami, która może kształtować się w następujący sposób:

  • Administrator – Administrator (udostępnienie danych osobowych);
  • Administrator – Podmiot przetwarzający;
  • Współadministrator – Współadministrator.

W zależności od relacji podmiotu z dostawcami usług/współpracownikami, a dotyczących przetwarzania danych osobowych należy podjąć decyzję o powierzeniu przetwarzania danych osobowych lub o udostępnieniu danych podmiotom współpracującym z daną organizacją.

Powierzenie a udostępnienie

Różnica pomiędzy tymi dwoma formami przetwarzania danych osobowych sprowadza się do tego, kto decyduje o celach i środkach przetwarzania danych osobowych:

  • procesor/podmiot przetwarzający (podmiot, któremu powierza się dane do przetwarzania) zawsze przetwarza dane w ramach celu określonego przez administratora. Np. biuro księgowe przetwarza dane osobowe pracowników administratora dla potrzeb realizacji stosunku pracy, istniejącego pomiędzy administratorem, a jego pracownikami.
  • podmiot, któremu udostępnia się dane sam decyduje o celach ich przetwarzania. W momencie udostępnienia, administrator przestaje już decydować o celach i sposobach przetwarzania danych, ponieważ jest już do tego uprawniony podmiot, który te dane odebrał.

Należy pamiętać, że administrator może powierzyć przetwarzanie danych innym podmiotom, z zastrzeżeniem, że podmioty te:

  • wdrożyły odpowiednie środki techniczne i organizacyjne, służące ochronie danych oraz spełniają one wymogi ogólnego rozporządzenia o ochronie danych (art. 28 RODO);
  • dysponują wiedzą fachową, są wiarygodne i dysponują adekwatnymi zasobami służącymi bezpieczeństwu przetwarzania (motyw 81 preambuły do RODO);
  • są uprawnione do przetwarzania danych wyłącznie w zakresie celów i sposobów przetwarzania określonych przez Administratora w umowie.

    Więcej na temat wyboru i weryfikacji podmiotów przetwarzających oraz umowy powierzenia przetwarzania danych opisaliśmy w artykule Audyt podmiotu przetwarzającego.

    database schema, data tables, schema

 Administrator – Administrator (udostępnienie danych osobowych)

Charakterystyczne cechy relacji, w której występuje dwóch administratorów, czyli sytuacji, w której mamy do czynienia z udostępnieniem danych to:

  • każdy z podmiotów samodzielnie wyznacza cele i sposoby przetwarzania danych osobowych;
  • bardzo często działalność każdego z podmiotów regulowana jest odrębnymi przepisami prawa (przepisami sektorowymi);
  • na każdym z administratorów spoczywa obowiązek ochrony danych osobowych i archiwizowania danych;
  • przekazanie danych odbywa się na zasadzie udostępnienia – nie ma konieczności zawierania umowy;
  • każdy administrator spełnia obowiązek informacyjny wobec osób, od których pobiera dane;
  • każdy administrator realizuje prawa osób wskazane w art. 15-22 RODO;
  • każdy administrator realizuje inne obowiązki względem osób, których dane przetwarza, wynikające z przepisów prawa;
  • każdy z administratorów ponosi odpowiedzialność w momencie wystąpienia naruszenia prywatności.

Administrator – Podmiot przetwarzający (powierzenie przetwarzania danych osobowych)

 Najważniejsze cechy relacji, polegającej na powierzeniu przetwarzania danych osobowych to:

  • podmiot przetwarzający działa na zlecenie administratora, wykonując zadania mu nałożone na mocy umowy głównej;
  • z powierzeniem mamy do czynienia, kiedy administrator mógłby wykonać dane czynności sam, ale nie ma do tego np. zaplecza technologicznego lub zasobów ludzkich i w związku z tym zleca je na zewnątrz;
  • podmiot przetwarzający nie spełnia obowiązku informacyjnego (art. 13 i 14 RODO);
  • podmiot przetwarzający wspomaga, ale sam nie realizuje żądań osób wynikających z art. 15-22 RODO;
  • podmiot przetwarzający odpowiada za naruszenia do rzeczywistego własnego zawinienia.
    przykłady relacji, relacje, relacyjność

Przykłady relacji: Administrator - Administrator, Administrator - Podmiot przetwarzający

Administrator – Administrator (udostępnienie danych osobowych)

Relacja, w której będziemy mieli do czynienia z dwoma odrębnymi administratorami, będzie występowała zwykle w następujących sytuacjach:

a) przy korzystaniu z usług zewnętrznych ze strony samodzielnego administratora:

  • agencje rekrutacyjne na zlecenie osoby szukającej pracy lub pracodawcy;
  • w przypadku zawodów objętych tajemnicą zawodową (doradca podatkowy, adwokat, zewnętrzny lekarz medycyny pracy);
  • w przypadku transferu pieniędzy przez instytucje bankowe;
  • usługi płatnicze w przypadku płatności elektronicznych (przesyłanie danych płatniczych, kontrola prania pieniędzy oraz oszustw);
  • w przypadku usług kurierskich/pocztowych dostarczania listów lub paczek;
  • producenci oraz hurtownie, które otrzymują od sprzedawców detalicznych adresy ich klientów, w związku z uzgodnioną z tymi klientami bezpośrednią wysyłką (zlecenie wysyłki towarów);
  • podmioty wysyłające prezenty np. kwiaty, który otrzymują listę adresów do wysyłki do osób trzecich (zlecenie wysyłki towarów);
  • dostawcy platformy internetowej w celu pośredniczenia pomiędzy sprzedawcą a konsumentem, którzy mogą się spotkać na platformie;
  • usługi telekomunikacyjne, chyba że dochodzą do nich usługi towarzyszące takie jak archiwizacja telefonów służbowych czy usuwanie danych z chmury, itd.
  • pośrednicy ubezpieczeniowi/ finansowi; pośrednicy w ramach umów z klientami;
  • przedstawiciele handlowi w ramach doradztwa oraz pośrednictwa;
  • przesłanie danych uczestnika szkolenia, w celu przeprowadzenia szkolenia przez zewnętrznego trenera do organizatora szkolenia lub hotelu;
  • laboratoria medyczne, laboratoria materiałowe itd. (zlecenie badań materiałowych);
  • dostawcy usług, przy których pośredniczy biuro podróży, jak np. hotele, podmioty wynajmujące samochody, spółki lotnicze, operatorzy autobusów, ubezpieczenia, itd.;
  • tłumaczenie tekstów z lub na języki obce.
    relacje między podmiotami, data, data security

Administrator – Podmiot przetwarzający (powierzenie przetwarzania danych osobowych)

Przykłady relacji administrator – podmiot przetwarzający:

  • Współpraca z podmiotem realizującym działania windykacyjne,
  • Współpraca z przedsiębiorstwem rekrutacyjnym, które zamieszcza ogłoszenie o pracę i prowadzi rekrutację w imieniu pracodawcy,
  • Skorzystanie z usług firmy zewnętrznej, zajmującej się przechowywaniem danych (np. archiwum, usługi chmurowe) lub ich usuwaniem (firma utylizująca dokumenty i nośniki),
  • Powierzenie księgowości firmy biuru rachunkowemu,
  • Skorzystanie z usług firmy ochroniarskiej,
  • Współpraca z podmiotem serwisującym sprzęt do monitoringu wizyjnego,
  • Zlecenie kampanii wysyłki newsletterów agencji marketingowej,
  • Korzystanie z zewnętrznej obsługi BHP w zakresie obsługi wypadków,
  • Przeprowadzanie przez agencję reklamową konkursów na zlecenie Spółki,
  • Współpraca z firmą hostingową.
    powierzenie przetwarzania, przetwarzanie, processing

Podsumowanie

Pojęcia powierzenia i udostępnienia danych osobowych, należy przede wszystkim rozumieć w podejściu funkcjonalnym, nie zaś formalnym. Przypisanie ról poszczególnym podmiotom, uczestniczącym w procesie przetwarzania danych osobowych, wymaga ustalenia: który z nich decyduje o celach i sposobach przetwarzania danych osobowych, biorąc pod uwagę zakres uprawnień i obowiązków tych podmiotów w konkretnej relacji. Ustalenia podmiotów co do ich relacji w sferze przetwarzania danych osobowych, które nie odzwierciedlają stanu faktycznego, nie tylko mogą rodzić konsekwencje i odpowiedzialność za naruszenie RODO, ale przede wszystkim mogą negatywnie wpływać na gwarantowany poziom ochrony osób fizycznych, których dane są przetwarzane.

Nierzadko mamy również do czynienia z sytuacjami, gdzie w ramach jednej relacji każdy z podmiotów może występować w różnych rolach (np. zarówno jako administrator, jak i podmiot przetwarzający). Dlatego tak ważne jest, aby każde przekazanie danych osobowych poddać szczegółowej analizie. Jest to bowiem niezbędne dla zapewnienia zgodności z RODO.

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk