WĘDRÓWKI DANYCH OSOBOWYCH – ROLE PODMIOTÓW I RODZAJE PRZEKAZYWANIA DANYCH

Jak wielokrotnie wcześniej podkreślaliśmy, przetwarzanie danych osobowych to proces – szereg czynności towarzyszących działalności człowieka. Dane te wędrują pomiędzy osobami i podmiotami w ramach realizacji umów i wykonywania wielorakich zadań. Dlatego konieczne jest określenie zasad i właściwej formy przekazywania danych osobowych. Ważne jest nazwanie i określenie zadań poszczególnych podmiotów zarówno dla bezpiecznego ich przekazywania, jak i zapewnienia prywatności osób.

KTO JEST KIM W PROCESIE PRZEKAZYWANIA DANYCH? ADMINISTRATOR, WSPÓŁADMINISTRATOR, PODMIOT PRZETWARZAJĄCY

Dla jednoznacznego stwierdzenia, kiedy mamy do czynienia z Administratorem, kiedy ze Współadministrowaniem, a kiedy z Procesorem, trzeba przypomnieć podstawowe definicje charakteryzujące funkcje Administratora, Współadministratora i Procesora/Operatora danych zawarte w RODO – Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych -Dz. Urz. UE L 119, s. 1)

Podmioty uczestniczące w procesie przetwarzania mogą występować w jednej roli lub w kilku rolach jednocześnie.

W procesie przetwarzania, w szczególności przekazywania danych występują:

  • Administrator,
  • Współadministrator,
  • Podmiot przetwarzający, tzw. Procesor lub Operator.

Administrator to podmiot, który ustala cele i sposoby przetwarzania danych osobowych. Ma rzeczywisty wpływ na to, co dzieje się z danymi osobowymi. Administrator samodzielnie określa cele i sposoby przetwarzania danych. Administrator danych zapewnia bezpieczeństwo przetwarzania danych osobowych.

Współadministrowanie oznacza, że co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania danych osobowych.

Podmiot przetwarzający, tzw. Procesor lub Operator – przetwarza dane osobowe w imieniu Administratora, a więc samodzielnie nie określa celów i sposobów przetwarzania danych.

PRZETWARZANIE DANYCH – POWIERZENIE DANYCH, UDOSTĘPNIENIE DANYCH, WSPÓŁADMINISTROWANIE

Przekazywanie danych osobowych między podmiotami o może odbywać się na trzy sposoby w ramach:

  • umowy powierzenia;
  • udostępnienia danych.
  • umowy/porozumienia o współadministrowaniu

Powierzenie danych to proces i czynności danego podmiotu polegające na przetwarzaniu danych w imieniu administratora i w sposób przez niego określony, gdzie administrator, powierzając dane osobowe, kształtuje zasady ich przetwarzania w ramach zawartej umowy powierzenia.

Udostępnienie danych to proces, w wyniku którego uzyskując dane drugi podmiot staje się odrębnym administratorem danych,

Współadministrowanie oznacza, że co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania określonych grup danych osobowych.

Zrozumienie istoty powierzenia przetwarzania, udostępnienia czy też współadministrowania ma kardynalne znaczenie dla ustalenia, z którym przypadkiem do czynienia. Przede wszystkim powinniśmy rozpoznać, kto ma faktyczną kontrolę nad danymi, w jakich i czyich celach te dane są przetwarzane oraz czy pochodzą one ze wspólnych zbiorów.

Można wskazać charakterystyczne cechy rodzaju operacji w odniesieniu do podmiotów przetwarzających dane, podstaw prawnych ich przetwarzania i sprawowanej nad nimi kontroli’

W przypadku operacji udostępnienia:

  1. Podmiot, któremu udostępniono dane, już jako inny, nowy administrator przetwarza przekazane dane w swoich własnych celach i na podstawie wynikającej z przepisów prawa;
  2. Podstawa udostępnienia – jedna z przesłanek legalizujących (art. 6 ust. 1 lub art. 9 ust. 2 RODO)
  3. Podmiot przekazujący traci kontrolę nad przekazanymi danymi
  4. W przypadku operacji powierzenia przetwarzania danych:
  5. Procesor przetwarza przekazane dane w imieniu przekazującego (administratora)
  6. Podstawa powierzenia – umowa powierzenia przetwarzania danych osobowych
  7. Pełna kontrola Administratora nad przekazanymi Operatorowi danymi

UMOWA POWIERZENIA DANYCH OSOBOWYCH

Umowa powierzenia stanowi dla administratora podstawę przekazania danych osobowych, a podmiot przetwarzający ma prawo przetwarzać powierzone mu dane osobowe. Administrator, który powierza przetwarzanie danych osobowych, jaki i Procesor, przyjmujący dane osobowe do przetwarzania powinni więc pamiętać o zawarciu umowy powierzenia przetwarzania danych osobowych.

Powierzenie przetwarzania danych osobowych w praktyce to przede wszystkim outsourcing usług. Typowym przykładem w tym zakresie jest outsourcing kadr i płac, kiedy pracodawca powierza dane osobowe swoich pracowników innemu podmiotowi zewnętrznemu, który wykonuje w jego imieniu obowiązki w zakresie zatrudniania. Inny przykład powierzenia to usługi informatyczne.

UDOSTĘPNIANIE DANYCH OSOBOWYCH

Najczęściej występujące przypadki udostępnienia danych osobowych wiążą się z realizacją obowiązków nałożonych na administratora przez przepisy prawa. Jeśli jeden podmiot (administrator) jest zobowiązany na mocy przepisów prawa do przekazania danych osobowych innemu podmiotowi(administratorowi) to mamy do czynienia z klasycznym przykładem udostępnienia danych osobowych.

Takie udostępnienie danych może nastąpić z inicjatywy administratora zobowiązanego do realizacji konkretnego obowiązku przekazania danych albo na wniosek podmiotu uprawnionego do otrzymania danych osobowych.

W przypadkach udostępnień trzeba zwrócić szczególną uwagę na zakres przekazywanych danych. Udostępniane dane osobowe, powinny być adekwatne do realizacji celów. Typowymi sytuacjami udostępnienia będzie np. przekazanie danych pracowników i członków rodzin pracowników do ZUS, US, przekazanie informacji policji czy też straży gminnej w związku z realizacją ich zadań ustawowych.

UMOWA/POROZUMIENIE O WSPÓŁADMINISTROWANIU

Tak jak przy powierzeniu przetwarzania danych istotną rolę odgrywała umowa powierzenia, tak przy współadministrowaniu danymi dobrym rozwiązaniem – chociaż nieobowiązującym – jest umowa/porozumienie o współadministrowaniu. Proces ten zabezpiecza interesy każdego z podmiotów/administratorów, a także jasno wskazuje zakres zadań i odpowiedzialności każdego z nich.

Klasycznym przykładem współadministrowania jest sytuacja, w której kilka podmiotów realizuje wspólne zadania (każdy w zakresie praw i obowiązków określonych przez przepisy prawa). Dlatego kluczowe jest to, aby każde przekazanie danych osobowych analizować pod kątem realizowanych celów i podstaw prawnych przetwarzania danych.

Wszystkie wymienione i prawidłowo odczytane aspekty przetwarzania danych powinny zapewnić bezpieczne przekazywanie danych. Muzycznym motywem tej specyficznej wędrówki danych osobowych, niejako towarzyszących – jak zaznaczono na początku -działalności człowieka może być utwór Starego Dobrego Małżeństwa

Wędrówką jedną życie jest człowieka

Idzie wciąż,
Dalej wciąż,
Dokąd? Skąd?
Dokąd? Skąd?…

Wędrówką jedną życie jest człowieka

 


 

Henryk Sylwester Byzdra

IODO Henryk Sylwester Byzdra