Dylemat – czy dana relacja biznesowa oznacza w myśl przepisów RODO udostępnienie czy powierzenie przetwarzania danych osobowych jest bardzo częsty u przedsiębiorców, którzy wdrożyli i zrozumieli zasady wynikające z rozporządzenia. To, które rozwiązanie powinno nastąpić- udostępnienie danych osobowych czy powierzenie przetwarzania danych osobowych – ściśle powiązane jest z określeniem ról podmiotów występujących w procesie i relacji biznesowej.
Udostępnienie danych osobowych
Udostępnienie danych osobowych to zgodnie z RODO jedna z operacji ich przetwarzania.
Udostępnienia może dokonać administrator danych osobowych. Jest to podmiot samodzielnie decydujący o celach i sposobach przetwarzania danych. Administrator sam decyduje o tym, czy udostępnianie danych będzie miało miejsce.
Administrator powinien być traktowany jako podmiot sprawujący kontrolę nad całym procesem przetwarzania danych. Wiąże się to także z odpowiedzialnością związaną z przestrzeganiem wymagań określonych w RODO, takich jak na przykład zastosowanie odpowiednich środków organizacyjnych i technicznych określających odpowiedni poziom bezpieczeństwa, a także realizowanie obowiązków informacyjnych.
Udostępnianie może nastąpić w przypadku, gdy po przekazaniu danych, każda ze stron samodzielnie i niezależnie od drugiej decyduje o tym, w jakim celu będzie te dane przetwarzać. Podmiot otrzymujący dane, również staje się administratorem, bowiem dane, które pozyskał będzie przetwarzał w związku z realizacją własnych celów związanych z przetwarzaniem danych osobowych.
Administrator udostępniający dane powinien zweryfikować, czy posiada odpowiednią podstawę prawną do takiego udostępnienia wynikającą z art. 6 RODO, np. zgodę podmiotu, którego dane dotyczą. Omawiane przekazanie danych osobowych powinno również zostać uwzględnione w obowiązku informacyjnym. Co najważniejsze, operacja powinna nastąpić z uwzględnieniem odpowiednich zabezpieczeń, w celu zachowania integralności, dostępności i poufności tych danych.
Podmiot, który dane w tym procesie otrzymał, z racji tego, że staje się administratorem powinien zapewnić zgodność przetwarzania tych danych z przepisami RODO.
Sprawdź jak wdrożyć RODO w twojej organizacji
Udostępnianie danych osobowych w praktyce
W praktyce, udostępnianie danych osobowych może mieć miejsce w przypadku zawierania umów biznesowych pomiędzy dwoma podmiotami. Dochodzi wtedy często do wymiany danych osób odpowiedzialnych za zawarcie i realizację umowy. W takim przypadku każda ze stron staje się administratorem danych, które zostały jej udostępnione i samodzielnie decyduje, o tym w jaki sposób będą one przetwarzane.
Udostępnienie danych osobowych może nastąpić także w przypadku przekazywania danych do organów takich jak Zakład Ubezpieczeń Społecznych, administracja publiczna czy organy ścigania na podstawie ciążącego na administratorze obowiązku prawnego. Dotyczy także co do zasady relacji z adwokatami, notariuszami czy radcami prawnymi.
Powierzenie przetwarzania danych osobowych
Powierzenie przetwarzania danych osobowych następuje w przypadku, gdy podmiot będący administratorem, angażuje w proces przetwarzania określonych danych podmiot przetwarzający (procesora). Relacja pomiędzy administratorem a podmiotem przetwarzającym na niejako charakter nadrzędności. Podmiot przetwarzający przetwarza bowiem powierzone mu dane zgodnie z instrukcjami administratora, w określonym przez administratora celu lub celach. Procesor może dokonywać określonych operacji jedynie na udokumentowane polecenie administratora.
Powierzenie przetwarzania danych w praktyce
Przykładem powierzenia przetwarzania danych osobowych jest korzystanie z usług hostingowych. Operacja polegająca na przetrzymywaniu danych będzie wykonywana przez dostawcę usługi hostingu, natomiast na rzecz i w imieniu administratora. Podobnie traktować zazwyczaj należy zewnętrzne usługi kadrowe czy księgowe. Oczywiście, tak jak w przypadku każdego powierzenia niezbędna jest umowa powierzenia przetwarzania danych osobowych. Wymogi jakie powinna spełniać powyższa umowa zostały określone w art. 28 ust. 3 RODO.
Jak odróżnić administratora danych od podmiotu przetwarzającego?
W praktyce odróżnienie administratora od podmiotu przetwarzającego bywa niełatwe. Ze względu na często występującą złożoność relacji gospodarczych, określenie sposobu przekazania danych osobowych, wymaga przeprowadzenia odpowiedniej analizy. Wiąże się to z właściwym określeniem obowiązków stron w zakresie ochrony danych osobowych, a co za tym idzie, także z wyznaczeniem odpowiedzialności. Nieprawidłowa ocena oznacza zaś ryzyko niezgodności z RODO i w efekcie naraża przedsiębiorcę na sankcje finansowe.