WĘDRÓWKI DANYCH OSOBOWYCH – ROLE PODMIOTÓW I RODZAJE PRZEKAZYWANIA DANYCH
Jak wielokrotnie wcześniej podkreślaliśmy, przetwarzanie danych osobowych to proces – szereg czynności towarzyszących działalności człowieka. Dane te wędrują pomiędzy osobami i podmiotami w ramach realizacji umów i wykonywania wielorakich zadań. Dlatego konieczne jest określenie zasad i właściwej formy przekazywania danych osobowych. Ważne jest nazwanie i określenie zadań poszczególnych podmiotów zarówno dla bezpiecznego ich przekazywania, jak i zapewnienia prywatności osób.
KTO JEST KIM W PROCESIE PRZEKAZYWANIA DANYCH? ADMINISTRATOR, WSPÓŁADMINISTRATOR, PODMIOT PRZETWARZAJĄCY
Dla jednoznacznego stwierdzenia, kiedy mamy do czynienia z Administratorem, kiedy ze Współadministrowaniem, a kiedy z Procesorem, trzeba przypomnieć podstawowe definicje charakteryzujące funkcje Administratora, Współadministratora i Procesora/Operatora danych zawarte w RODO – Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych -Dz. Urz. UE L 119, s. 1)
Podmioty uczestniczące w procesie przetwarzania mogą występować w jednej roli lub w kilku rolach jednocześnie.
W procesie przetwarzania, w szczególności przekazywania danych występują:
- Administrator,
- Współadministrator,
- Podmiot przetwarzający, tzw. Procesor lub Operator.
Administrator to podmiot, który ustala cele i sposoby przetwarzania danych osobowych. Ma rzeczywisty wpływ na to, co dzieje się z danymi osobowymi. Administrator samodzielnie określa cele i sposoby przetwarzania danych. Administrator danych zapewnia bezpieczeństwo przetwarzania danych osobowych.
Współadministrowanie oznacza, że co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania danych osobowych.
Podmiot przetwarzający, tzw. Procesor lub Operator – przetwarza dane osobowe w imieniu Administratora, a więc samodzielnie nie określa celów i sposobów przetwarzania danych.
PRZETWARZANIE DANYCH – POWIERZENIE DANYCH, UDOSTĘPNIENIE DANYCH, WSPÓŁADMINISTROWANIE
Przekazywanie danych osobowych między podmiotami o może odbywać się na trzy sposoby w ramach:
- umowy powierzenia;
- udostępnienia danych.
- umowy/porozumienia o współadministrowaniu
Powierzenie danych to proces i czynności danego podmiotu polegające na przetwarzaniu danych w imieniu administratora i w sposób przez niego określony, gdzie administrator, powierzając dane osobowe, kształtuje zasady ich przetwarzania w ramach zawartej umowy powierzenia.
Udostępnienie danych to proces, w wyniku którego uzyskując dane drugi podmiot staje się odrębnym administratorem danych,
Współadministrowanie oznacza, że co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania określonych grup danych osobowych.
Zrozumienie istoty powierzenia przetwarzania, udostępnienia czy też współadministrowania ma kardynalne znaczenie dla ustalenia, z którym przypadkiem do czynienia. Przede wszystkim powinniśmy rozpoznać, kto ma faktyczną kontrolę nad danymi, w jakich i czyich celach te dane są przetwarzane oraz czy pochodzą one ze wspólnych zbiorów.
Można wskazać charakterystyczne cechy rodzaju operacji w odniesieniu do podmiotów przetwarzających dane, podstaw prawnych ich przetwarzania i sprawowanej nad nimi kontroli’
W przypadku operacji udostępnienia:
- Podmiot, któremu udostępniono dane, już jako inny, nowy administrator przetwarza przekazane dane w swoich własnych celach i na podstawie wynikającej z przepisów prawa;
- Podstawa udostępnienia – jedna z przesłanek legalizujących (art. 6 ust. 1 lub art. 9 ust. 2 RODO)
- Podmiot przekazujący traci kontrolę nad przekazanymi danymi
- W przypadku operacji powierzenia przetwarzania danych:
- Procesor przetwarza przekazane dane w imieniu przekazującego (administratora)
- Podstawa powierzenia – umowa powierzenia przetwarzania danych osobowych
- Pełna kontrola Administratora nad przekazanymi Operatorowi danymi
UMOWA POWIERZENIA DANYCH OSOBOWYCH
Umowa powierzenia stanowi dla administratora podstawę przekazania danych osobowych, a podmiot przetwarzający ma prawo przetwarzać powierzone mu dane osobowe. Administrator, który powierza przetwarzanie danych osobowych, jaki i Procesor, przyjmujący dane osobowe do przetwarzania powinni więc pamiętać o zawarciu umowy powierzenia przetwarzania danych osobowych.
Powierzenie przetwarzania danych osobowych w praktyce to przede wszystkim outsourcing usług. Typowym przykładem w tym zakresie jest outsourcing kadr i płac, kiedy pracodawca powierza dane osobowe swoich pracowników innemu podmiotowi zewnętrznemu, który wykonuje w jego imieniu obowiązki w zakresie zatrudniania. Inny przykład powierzenia to usługi informatyczne.
UDOSTĘPNIANIE DANYCH OSOBOWYCH
Najczęściej występujące przypadki udostępnienia danych osobowych wiążą się z realizacją obowiązków nałożonych na administratora przez przepisy prawa. Jeśli jeden podmiot (administrator) jest zobowiązany na mocy przepisów prawa do przekazania danych osobowych innemu podmiotowi(administratorowi) to mamy do czynienia z klasycznym przykładem udostępnienia danych osobowych.
Takie udostępnienie danych może nastąpić z inicjatywy administratora zobowiązanego do realizacji konkretnego obowiązku przekazania danych albo na wniosek podmiotu uprawnionego do otrzymania danych osobowych.
W przypadkach udostępnień trzeba zwrócić szczególną uwagę na zakres przekazywanych danych. Udostępniane dane osobowe, powinny być adekwatne do realizacji celów. Typowymi sytuacjami udostępnienia będzie np. przekazanie danych pracowników i członków rodzin pracowników do ZUS, US, przekazanie informacji policji czy też straży gminnej w związku z realizacją ich zadań ustawowych.
UMOWA/POROZUMIENIE O WSPÓŁADMINISTROWANIU
Tak jak przy powierzeniu przetwarzania danych istotną rolę odgrywała umowa powierzenia, tak przy współadministrowaniu danymi dobrym rozwiązaniem – chociaż nieobowiązującym – jest umowa/porozumienie o współadministrowaniu. Proces ten zabezpiecza interesy każdego z podmiotów/administratorów, a także jasno wskazuje zakres zadań i odpowiedzialności każdego z nich.
Klasycznym przykładem współadministrowania jest sytuacja, w której kilka podmiotów realizuje wspólne zadania (każdy w zakresie praw i obowiązków określonych przez przepisy prawa). Dlatego kluczowe jest to, aby każde przekazanie danych osobowych analizować pod kątem realizowanych celów i podstaw prawnych przetwarzania danych.
Wszystkie wymienione i prawidłowo odczytane aspekty przetwarzania danych powinny zapewnić bezpieczne przekazywanie danych. Muzycznym motywem tej specyficznej wędrówki danych osobowych, niejako towarzyszących – jak zaznaczono na początku -działalności człowieka może być utwór Starego Dobrego Małżeństwa
Wędrówką jedną życie jest człowieka
Idzie wciąż,
Dalej wciąż,
Dokąd? Skąd?
Dokąd? Skąd?…Wędrówką jedną życie jest człowieka
Comments are closed.