Z LEXTRA PRZY KAWIE O PRAWIE - Funkcjonowanie RODO w przedsiębiorstwie cz. VI

W ramach dzisiejszego spotkania „Z LEXTRA PRZY KAWIE O PRAWIE” - FUNKCJONOWANIE RODO W PRZEDSIĘBIORSTWIE cz. VI

 

Podpowiadamy jak odróżnić udostępnienie danych osobowych od ich powierzenia podmiotowi przetwarzającemu.

 

Administrator danych osobowych przetwarzając dane osobowe w wielu sytuacjach staje przed oceną czy przekazując dane osobowe podmiotowi trzeciemu powinien zawrzeć umowę powierzenia przetwarzania danych osobowych. Nie każde przekazanie danych osobowych na zewnątrz poza strukturę administratora danych osobowych będzie powierzeniem danych osobowych, lecz może stanowić udostępnienie danych osobowych.

Różnica pomiędzy powierzeniem, a udostępnieniem jest istotna, bowiem w tym drugim przypadku, podmiot trzeci staje się samodzielnym administratorem danych osobowych, ponoszącym odpowiedzialność za własne działania i zaniechania. Ponadto nie ma potrzeby zawierania w takiej sytuacji dodatkowej umowy pomiędzy dwoma administratorami danych osobowych. Każdy z administratorów decyduje samodzielnie o celach i sposobach przetwarzania danych osobowych, jak również wykonuje we własnym zakresie pozostałe obowiązki nałożone na administratora, jak np. obowiązek informacyjny wobec osób fizycznych, których dane osobowe zostały mu udostępnione. Istotne jest też, aby każdy administrator legalnie przetwarzał dane osobowe, tzn. na jednej z podstaw wynikających z przepisów RODO.

Kryterium, które pozwala odróżnić „udostępnienie danych osobowych” od „powierzenia danych osobowych” jest wyżej wspomniana samodzielność obu podmiotów w decydowaniu o „celach i sposobach przetwarzania danych osobowych”.

Przykładowo udostępnieniem danych osobowych jest przekazanie danych osobowych pracowników przez pracodawcę w celach kontaktowych innemu podmiotowi w zakresie imienia, nazwiska, służbowego adresu poczty elektronicznej czy służbowego numeru telefonu. Innym przykładem będzie udostępnienie danych osobowych na wezwanie sądu lub policji.

Na gruncie RODO uregulowano tzw. współadministrowanie. W takiej konfiguracji kilka podmiotów „wspólnie decyduje o celach i sposobach przetwarzania danych osobowych”. Przykładowo taka relacja może zostać ukształtowana w grupie kapitałowej, mającej jedną wspólną bazę danych lub współadministrowanie może zostać wdrożone przy wspólnym projekcie realizowanym przez kilka podmiotów na rzecz jednego klienta, gdy wszyscy mają dostęp do danej bazy danych osobowych.

Prawidłowe określenie celu i sposobu przetwarzania wymaga przeprowadzenia analizy i prawidłowej kwalifikacji, aby administrator dokonał prawidłowej oceny czy w danej sytuacji udostępnia czy powierza dane osobowe do przetwarzania.

Kancelaria świadczy usługi pomocy prawnej przy przeprowadzeniu kwalifikacji zasad współpracy Stron w omawianym zakresie, aby wdrożone w przedsiębiorstwie procesy udostępniania i powierzania danych osobowych były zgodne z RODO. Zapraszamy do współpracy.