Dane osobowe można zarówno udostępnić, jak i powierzyć ich przetwarzanie. Niestety dość często administratorzy danych osobowych używają sformułowania „udostępniam dane osobowe” nazywając tak zarówno proces ich rzeczywistego przekazania jako udostępniania, jak również proces ich przekazania jako powierzenia do przetwarzania przez inny podmiot. Konsekwencją tego błędu jest niestety wskazanie niewłaściwej podstawy prawnej dla przekazania danych osobowych podmiotowi trzeciemu. Tym samym w pierwszej kolejności należy określić kiedy będzie dochodziło do udostępnienia danych osobowych a kiedy do powierzenia ich przetwarzania. Istotne jest również, jak te procesy dokumentować. Prawidłowe rozwiązania w tym zakresie pozwalają na uniknięcie konsekwencji w postaci kar finansowych.
Przypomnijmy, że nie jest wykluczone, iż administrator ochrony danych nie będzie przetwarzał danych osobowych samodzielnie, a przekaże je podmiotowi trzeciemu w z góry znanym celu. Jeśli ten podmiot przetwarza powierzone do przetwarzania dane osobowe w zakresie, w jakim ADO mu je powierzył, działając na rzecz i w interesie ADO, wówczas ADO sprawuje kontrolę nad procesem przetwarzania danych osobowych przez ten podmiot, któremu je przekazano. Podmiot ten co do zasady nie może wykorzystywać przekazanych danych we własnych celach. Dochodzi wówczas do powierzenia przetwarzania danych osobowych. Dane osobowe mogą być również przekazane podmiotowi trzeciemu, w celu przetwarzania ich przez ten podmiot we własnym celu. W takiej sytuacji ADO nie ma już możliwości kontroli procesu przetwarzania danych osobowych przez ten podmiot. Takie działanie należy określać mianem udostępnienia danych osobowych.
Przekazanie danych osobowych może odbywać się w drodze udostępnienia danych osobowych lub ich powierzenia do przetwarzania przez podmiot trzeci.
Powyższe wnioski wynikają z definicji wskazanych w RODO. Art. 4 pkt 2 RODO stanowi, iż udostępnianie danych osobowych jest ich przetwarzaniem.
Przetwarzanie danych to operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Natomiast z art. 28 ust. 1 RODO wynika, że jeżeli przetwarzanie ma być dokonywane w imieniu ADO, to podmiot trzeci korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Równocześnie podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora.
Aby przestrzegać reguł RODO, powierzenie przetwarzania danych powinno przyjąć formę umowy, która podlega prawu Unii lub prawu państwa członkowskiego i wiąże podmiot przetwarzający i administratora.
Umowa powierzenia przetwarzania danych określa przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Oprócz tego umowa musi wyraźnie wskazywać, że:
Umowa nie jest jedyną formą powierzenia przetwarzania danych. W RODO użyto tajemniczego sformułowania „Inny instrument prawny”, nie zostało ono jednak zdefiniowane. Zaznaczono jedynie, że powinno ono spełniać takie same standardy, jak umowa. Jak wskazują eksperci, „inny instrument prawny” dotyczy w szczególności relacji prawnych pomiędzy podmiotami ze sfery prawa publicznego tj. organów i podmiotów publicznych (P. Litwiński (red.)/P. Barta/M.Kawecki Rozporządzenie (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Komentarz, s.476). Pomiędzy organami państwowymi lub organami samorządu terytorialnego występuje bowiem regulacje administracyjnoprawne oparte na instrumentach prawnych takich jak ustawy, rozporządzenia, akty prawa miejscowego, na podstawie których dochodzi do przekazania określonemu organowi danych osobowych będących w posiadaniu innego organu administracji publicznej. „Instrument prawny” może jednak też dotyczyć innych sfer.
Dotychczas spółki wchodzące w skład grupy kapitałowej były traktowane jak osobni administratorzy ochrony danych, w związku z czym zawsze zawierały wzajemnie umowy powierzenia. Zgodnie z RODO instrumentem prawnym dokumentującym powierzenie przetwarzania danych mogą być zaś wewnętrzne regulacje prawne grup kapitałowych.
Inaczej jednak jest w przypadku udostępnienia danych osobowych. Jak już wskazano, udostępnianie danych nie jest ich powierzeniem, o którym mowa w art. 28 RODO. Inaczej niż powierzenie, udostępnienie danych osobowych, nie ma więc wprost przepisanej jednolitej formy prawnej, którą ADO powinien zastosować, gdy w ten sposób będzie przetwarzał dane osobowe. Zgodnie jednak z zasadą rozliczalności (art. 5 ust. 2 RODO), ADO zobowiązany jest się wyliczyć z tego, że przestrzega przepisy ochrony danych osobowych i to przestrzeganie musi być w stanie wykazać.
Przykładem dokumentowania udostępniania danych osobowych może być np. zobowiązanie Sądu, zobowiązanie organów ścigania czy też wniosek pracownika poszkodowanego w wyniku stłuczki parkingowej.
W praktyce bardzo często administrator danych osobowych będący przedsiębiorcą powierza przetwarzanie danych, korzystając z usług podmiotu zewnętrznego - tzw. outsourcing usług.
Czym jest outsourcing? Polega on na zleceniu podmiotowi zewnętrznemu wykonywania określonych usług zamiast zatrudniania do wykonania tych czynności swojego pracownika.
Administrator powierza przetwarzanie danych w ramach outsourcingu np. w przypadku usług kadrowych, płacowych, prawniczych, informatycznych, marketingowych, BHP-wskich, informatycznych, ochrony mienia i osób. Przedsiębiorcy podpisują wówczas umowę o współpracy, w ramach której zobowiązują się do przekazywania wszelkich informacji niezbędnych dla prawidłowego realizowania postanowień zawartej umowy, a w tym danych osobowych. Aby powierzenie danych osobowych było legalne, powinno być ono udokumentowane umową.
ADO może też przekazać podmiotowi trzeciemu dane osobowe, ale jednocześnie nie korzystać z jego usług w oparciu o outsourcing. W takiej sytuacji ADO nie ponosi odpowiedzialności za działania podmiotu, któremu dane udostępnił, a ten podmiot w stosunku do otrzymanych danych posiada status odrębnego ADO (nie zaś podmiotu przetwarzającego).
ADO powołując się na swój uzasadniony interes prawny (ochrona osób i mienia) instaluje monitoring rejestrujący obraz zarówno w budynku jak i na terenie wokół niego. Obszar monitorowany obejmuje również parking dla gości czy pracowników. Na co dzień może dochodzić do szkód powstałych w wyniku tzw. stłuczek parkingowych. Często jednak zdarza się, że sprawca oddala się z miejsca zdarzenia. W takiej sytuacji właściciel samochodu, w celu ustalenia sprawcy wyrządzonej mu szkody, może zwrócić się do ADO z żądaniem udostępnienia danych osobowych zawartych w nagraniach z monitoringu w celu ułatwienia dochodzenia odszkodowania. ADO może wówczas zgodzić się na realizację żądania. W praktyce wniosek o udostępnienie danych z monitoringu powinien w tego typu przypadkach obejmować: datę wniosku, datę i prawdopodobne godziny powstania szkody, niezbędne dane osobowe poszkodowanego składającego wniosek oraz uzasadnienie wniosku. ADO po otrzymaniu wniosku, będzie dysponował odpowiednią podstawą prawną dla rozpoznania wniosku. Jeśli ADO uwzględni żądanie, wówczas może wydać obraz monitoringu, ale wyłącznie w zakresie, w którym monitoring zarejestrował zdarzenie wywołujące szkodę. Warto, aby przekazanie obrazu z monitoringu dla celów dowodowych przybrało formę pisemną, w której ADO wskaże, kiedy, komu, dlaczego i w jakim zakresie wydaje kopię zarejestrowanego przez monitoring obrazu.
Celem przedsiębiorcy jest pozyskanie danych osobowych konsumenta w jak najszerszym zakresie, aby móc się z nim kontaktować w różnego rodzaju celach np. marketingu bezpośredniego, marketingu usług własnych, tzw. cold mailingu, zaproszenia na różnego rodzaju wydarzenia, premiery, ale nawet zaproponowaniu ulubionej kawy, gdy ten odwiedzi przedsiębiorcę. Nie można jednak wykluczyć udostępnienia danych osobowych konsumenta innej firmie, w celu przetwarzania danych przez tę firmie we własnym imieniu, a nie przez firmę, która przekazała dane. Dochodzi wówczas do udostępnienia danych osobowych, które – co należy zaznaczyć – wymaga wyraźnej zgody klienta.
Dokumentacja medyczna (objęta tajemnicą lekarską) obejmuje zarówno dane osobowe pacjenta, jak również informacje o jego stanie zdrowia, a także o zakresie udzielanych świadczeń. W konsekwencji niepowodzeniem będzie kończyła się próba żądania udostępnienia danych osobowych pacjenta, bez informacji o zakresie udzielonych świadczeń medycznych. Jako że dokumentacja medyczna jako taka objęta jest tajemnicą lekarską, to dotyczy to zarówno danych osobowych pacjenta jak i zakresu udzielonych mu świadczeń. Dlatego udostępnienie informacji pochodzących z dokumentacji medycznej może być zrealizowane wyłącznie na rzecz prawem upoważnionych organów i to w zakresie prawem przepisanym (J. Sobczak, Czy można udostępnić dane identyfikujące pacjenta, Informacja w Administracji Publicznej 2/2017).
Nie można wykluczyć, że dany podmiot w określonym zakresie będzie odrębnym ADO, a w pozostałej części podmiotem przetwarzającym np. w konfiguracji agencja pracy – pracodawca użytkownik.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
