Jesteś już użytkownikiem programów LEX?

Powierzenie, udostępnienie a może upoważnienie – jak przekazywać dane osobowe?

23 sierpnia 2019

Wielu administratorów ma wątpliwości, kiedy faktycznie dochodzi do powierzenia danych innemu podmiotowi, a tym samym czy konieczne jest zawarcie umowy powierzenia. Kolejnym problemem, z którym borykają się administratorzy, jest rozróżnienie sytuacji, w których przekazanie danych innemu podmiotowi będzie powierzeniem, a kiedy udostępnieniem. Do tego dochodzi jeszcze bardzo ważna w praktyce kwestia udzielania upoważnień do przetwarzania danych osobowych.

Powierzenie, udostępnienie a może upoważnienie – jak przekazywać dane osobowe?

Powierzenie a udostępnienie 

Zanim zdecydujemy na jakiej podstawie inny podmioty uzyska dostęp do przetwarzanych przez nas danych osobowych, należy właściwie zdefiniować czym jest powierzenie a czym udostępnienie. Powierzenie danych to działanie innego podmiotu polegające na przetwarzaniu danych w imieniu administratora i w sposób przez niego określony, gdzie administrator, powierzając dane osobowe, kształtuje zasady ich przetwarzania w ramach zawartej umowy powierzenia. Brzmi to skomplikowanie, ale chodzi o to, że podmiot przetwarzający nie jest uprawniony do samodzielnego decydowania o celach i środkach przetwarzania (nie może także bez zgody administratora dokonać tzw. podpowierzenia). Udostępnienie danych to z kolei działanie, w wyniku którego drugi podmiot staje się odrębnym administratorem danych, ponoszącym od momentu otrzymania danych, odpowiedzialność za udostępnione dane.  

Zleceniobiorca – powierzenie czy upoważnienie?

W praktyce często zdarza się, że administrator współpracuje na postawie umowy zlecenia z osobą prowadzącą jednoosobową działalność gospodarczą (dotyczy to np. części lekarzy zatrudnianych w szpitalach i przychodniach na tzw. kontraktach, czy też specjalistów od IT). W takich przypadkach administrator musi ocenić, czy zleceniobiorcy wystarczy wydać odpowiednie upoważnienie, czy też konieczne jest zawarcie z nim umowy powierzenia. W tej kwestii wypowiedział się już Urząd Ochrony Danych Osobowych, wskazując, że jeżeli zleceniobiorca przetwarza dane osobowe na zlecenie administratora danych, korzystając z udostępnionych przez niego środków i narzędzi, np. biuro, sprzęt komputerowy, nośniki danych, systemy informatyczne, powinien przetwarzać te dane na podstawie nadanego upoważnienia, tak samo jak inni pracownicy administratora. Jeżeli jednak w wyniku umowy cywilnoprawnej zewnętrzny podmiot przetwarza dane na zlecenie administratora w sposób niezależny (np. jako zewnętrzny konsultant prowadzący jednoosobową działalność gospodarczą), wówczas przetwarzanie w imieniu administratora powinno odbywać się na podstawie zawartej z administratorem umowy powierzenia danych osobowych.

Co z podpowierzeniem danych?

Przepisy RODO uregulowały zasady podpowierzenia danych, czyli możliwości skorzystania przez podmiot przetwarzający z podwykonawców, którzy także będą przetwarzać dane. Niezbędnym tu jednak elementem jest uzyskanie zgody administratora. Może on wyrażać zgodę na każde powierzenie, zgodnie z zasadami przyjętymi w umowie powierzenia lub dać ogólną zgodę na dalsze powierzenie, z zastrzeżeniem, że podmiot przetwarzający jest zobligowany do każdorazowego, uprzedniego informowania administratora o planowanym podpowierzeniu, aby umożliwić mu wyrażenie sprzeciwu.

Więcej przeczytasz w najnowszym komentarzu praktycznym w LEX Ochrona Danych Osobowych pt. „Okiem IOD-a: powierzanie i podpowierzenie danych w praktyce"

Autorką cyklu komentarzy "Okiem IOD-a" jest Sylwia Czub-Kiełczewska - ekspert do spraw ochrony danych osobowych, szkoleniowiec, certyfikowany audytor wewnętrzny PN-ISO/IEC 27001. Wykładowca akademicki. Posiada wieloletnie doświadczenie w zakresie koordynacji procesów bezpieczeństwa danych. Jest to nie tylko jej praca, ale także pasja: prowadzi popularnego bloga Sylwia Czub bloguje o danych osobowych (sylwiaczub.pl). Przez ponad 6 lat była związana zawodowo z Instytutem Książki, w którym koordynowała procesy bezpieczeństwa danych. Przeprowadziła kilkaset szkoleń ze stosowania przepisów o ochronie danych osobowych. Od 2014 roku prowadzi stałą kolumnę o ochronie danych osobowych w branżowym czasopiśmie "Bibliotekarz". Obecnie wspiera swoją wiedzą i doświadczeniem procesy ochrony informacji w spółkach kapitałowych, agencjach reklamowych, jednostkach samorządowych. Świadczy także usługi zewnętrznego Inspektora Ochrony Danych.

Zainteresował Cię ten tekst, a nie masz dostępu do LEX Ochrona Danych Osobowych? Sprawdź naszą ofertę >> 

 

Zobacz także

Dlaczego warto mieć u swego boku IOD-a, gdy przyjdzie kontroler UODO?

 

Polecam,
Alicja Plichta,
redaktor naczelna działu Biznes
product manager Ochrona Danych Osobowych

Nie korzystasz jeszcze z programów LEX?
Znajdź rozwiązanie dla siebie.

Zamów prezentacje produktów LEX, dzięki której poznasz pełne możliwości serwisu oraz uzyskasz informacje o pakietach spełniających Twoje potrzeby.