Powierzenie, udostępnienie a może upoważnienie – jak przekazywać dane osobowe?
Wielu administratorów ma wątpliwości, kiedy faktycznie dochodzi do powierzenia danych innemu podmiotowi, a tym samym czy konieczne jest zawarcie umowy powierzenia. Kolejnym problemem, z którym borykają się administratorzy, jest rozróżnienie sytuacji, w których przekazanie danych innemu podmiotowi będzie powierzeniem, a kiedy udostępnieniem. Do tego dochodzi jeszcze bardzo ważna w praktyce kwestia udzielania upoważnień do przetwarzania danych osobowych.
Powierzenie a udostępnienie
Zanim zdecydujemy na jakiej podstawie inny podmioty uzyska dostęp do przetwarzanych przez nas danych osobowych, należy właściwie zdefiniować czym jest powierzenie a czym udostępnienie. Powierzenie danych to działanie innego podmiotu polegające na przetwarzaniu danych w imieniu administratora i w sposób przez niego określony, gdzie administrator, powierzając dane osobowe, kształtuje zasady ich przetwarzania w ramach zawartej umowy powierzenia. W takim wypadku podmiot przetwarzający nie jest uprawniony do samodzielnego decydowania o celach i środkach przetwarzania (nie może także bez zgody administratora dokonać tzw. podpowierzenia). Udostępnienie danych to z kolei działanie, w wyniku którego drugi podmiot staje się odrębnym administratorem danych, ponoszącym od momentu otrzymania danych, odpowiedzialność za udostępnione dane.
Więcej na temat powierzenia danych osobowych w praktyce dowiesz się ze szkolenia online.
Zleceniobiorca – powierzenie czy upoważnienie?
W praktyce często zdarza się, że administrator współpracuje na postawie umowy zlecenia z osobą prowadzącą jednoosobową działalność gospodarczą (dotyczy to np. części lekarzy zatrudnianych w szpitalach i przychodniach na tzw. kontraktach, czy też specjalistów od IT). W takich przypadkach administrator musi ocenić, czy zleceniobiorcy wystarczy wydać odpowiednie upoważnienie, czy też konieczne jest zawarcie z nim umowy powierzenia. W tej kwestii wypowiedział się już Urząd Ochrony Danych Osobowych, wskazując, że jeżeli zleceniobiorca przetwarza dane osobowe na zlecenie administratora danych, korzystając z udostępnionych przez niego środków i narzędzi, np. biuro, sprzęt komputerowy, nośniki danych, systemy informatyczne, powinien przetwarzać te dane na podstawie nadanego upoważnienia, tak samo jak inni pracownicy administratora. Jeżeli jednak w wyniku umowy cywilnoprawnej zewnętrzny podmiot przetwarza dane na zlecenie administratora w sposób niezależny (np. jako zewnętrzny konsultant prowadzący jednoosobową działalność gospodarczą), wówczas przetwarzanie w imieniu administratora powinno odbywać się na podstawie zawartej z administratorem umowy powierzenia danych osobowych.
O upoważnianiu do przetwarzaniu danych osobowych w praktyce opowiedziała Ekspertka, Sylwia Czub-Kiełczewska podczas szkolenia online.
Co z podpowierzeniem danych?
Przepisy RODO uregulowały zasady podpowierzenia danych, czyli możliwości skorzystania przez podmiot przetwarzający z podwykonawców, którzy także będą przetwarzać dane. Niezbędnym tu jednak elementem jest uzyskanie zgody administratora. Może on wyrażać zgodę na każde powierzenie, zgodnie z zasadami przyjętymi w umowie powierzenia lub dać ogólną zgodę na dalsze powierzenie, z zastrzeżeniem, że podmiot przetwarzający jest zobligowany do każdorazowego, uprzedniego informowania administratora o planowanym podpowierzeniu, aby umożliwić mu wyrażenie sprzeciwu.
Alicja Plichta,
Dyrektor Działu Zarządzania Produktami
Product Manager LEX Ochrona Danych Osobowych