Jak odróżnić powierzenie od udostępnienia danych osobowych?

RODO-specjaliści szaleją. Wszędzie gdzie się da „wciskają” umowy powierzenia przetwarzania danych osobowych. A może czasami wystarczy udostępnienie danych osobowych?

Aby odróżnić powierzenie przetwarzania danych osobowych od udostępniania danych osobowych, wpierw należy zrozumieć na czym polega powierzenie. Powierzenie przetwarzania jest zleceniem podmiotowi zewnętrznemu jakieś operacji (jeden lub więcej) przetwarzania. Odpłatność za wykonanie takiego zlecenia, z punktu widzenia RODO nie ma znaczenia. Istotne, jest to, że przedmiotem zlecenia (umowy) jest jedna lub więcej operacji na danych osobowych. Jest to sytuacja, w której administrator – zleceniodawca, zleca taką usługę, która polega na przetwarzaniu danych osobowych. Nie chodzi o taki przedmiot zlecenia (umowy), którego realizacja jest związana z przetwarzaniem danych.

Kontrola nad danymi
Podstawową różnicą pomiędzy powierzeniem a udostępnieniem danych osobowych jest to, że podmiot zlecający (administrator) posiada pełną władzę nad tym co się dzieje z danym. Może on w każdej chwili zarządach zwrotu lub usunięcia danych osobowych. Może on (choć przynajmniej teoretycznie) przeprowadzić audyt u dostawcy. W przypadku gdy zlecający usługę nie ma takiej kontroli, oznaczać to będzie, że zleceniobiorca będzie odrębnym administratorem w zdecydowanej większości występujących przypadków. Jeśli procesor będzie w stanie wykazać się potrzebą posiadania danych osobowych i posiadania odpowiedniej podstawy prawnej, z pewnością będzie odrębnym administratorem.

Odbiorca (procesor) nie posiada żadnej podstawy prawnej
Drugą różnicą między powierzeniem a udostępnieniem danych osobowych jest sytuacja, w której gdy zakończy się umowa pomiędzy zleceniodawcą a zleceniobiorcą i zleceniobiorca nie będzie w stanie wskazać, żadnej podstawy prawnej z art. 6 RODO do przetwarzania danych osobowych. W takim przypadku zleceniobiorca z pewnością będzie podmiotem przetwarzającym.

Konieczność przekazania danych
Jeśli jeden podmiot (administrator) jest zobowiązany na mocy przepisów prawa do przekazania danych osobowych innemu podmiotowi czy organowi administracji publicznej, z pewnością mamy do czynienia z udostępnienia danych osobowych. Typowymi sytuacjami udostępnienia będzie np. przekazanie danych pracowników i członków rodzin pracowników do ZUS w związku ze zgłoszeniem do ubezpieczenia społecznego, przekazanie informacji komornikowi sądowemu, policji czy straży gminnej. W momencie takiego przekazania, administrator przekazujący traci kontrolę nad przekazanymi danymi osobowymi. Istotne w tym przypadku jest to, aby administrator przekazujący takie dane innemu administratorowi miał do tego odpowiednią podstawę prawną. Nawet jeśli podmiot żądający przekazanie danych podaje podstawę prawną, z ostrożności administrator powinien sam zweryfikować czy po jego stornie istnieje taki obowiązek, a tym samym czy posiada odpowiednią podstawa prawną do udostępniania.

Tomasz Izydorczyk

redaktor naczelny i wydawca TIZYDORCZYK.PL