Kiedy mamy do czynienia z powierzeniem przetwarzania danych osobowych?
Powierzenie przetwarzania danych osobowych można zdefiniować jako umocowanie przez administratora innego, zewnętrznego podmiotu do przetwarzania danych osobowych w imieniu i na rzecz administratora. Umowę taką można zaliczyć do jednych z najczęściej zawieranych umów dotyczących danych osobowych. Nie zawsze jednak umowy takie są zawierane wtedy, gdy jest to konieczne (i odwrotnie - są zawierane wtedy, kiedy faktycznie nie dochodzi do powierzenia przetwarzania danych osobowych) i często odróżnienie powierzenia przetwarzania danych od udostępniania ich lub współadministrowania danymi bywa skomplikowane.
Kto przetwarza dane osobowe?
Zgodnie z definicją zawartą w art. 4 pkt. 7 RODO „administrator” oznacza „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych”.
Administrator może przetwarzać dane sam, ale może też skorzystać z powierzenia przetwarzania danych osobowych i w takim przypadku to podmiot przetwarzający (procesor) przetwarza dane osobowe.
W relacji powierzenia przetwarzania danych osobowych administrator to zatem strona umowy, która decyduje jakie dane będą przetwarzane, w jakim celu oraz w jaki sposób.
Powierzenie przetwarzania danych osobowych
Pierwszym warunkiem koniecznym do istnienia powierzenia jest przede wszystkim przetwarzanie danych osobowych. Powierzenie nie istnieje bez tego elementu. Drugim warunkiem, aby można było mówić o powierzeniu przetwarzania danych jest bycie podmiotem zewnętrznym wobec administratora danych przez podmiot przetwarzający. Trzecim elementem jest działanie podmiotu przetwarzającego w imieniu i na rzecz administratora danych osobowych. Podmiot przetwarzający nie realizuje swoich celów (chyba że sam jest administratorem danych w zakresie własnej działalności), ale cele administratora. Cechą powierzenia jest zachowanie władztwa administratora nad procesami wykonywanymi na powierzonych danych osobowych. Administrator nie przetwarza danych we własnej strukturze, ale nadal pozostaje podmiotem wyłącznie umocowanym do wyznaczania celów i sposobów przetwarzania danych przez procesora.
Podsumowując definicję powierzenia danych osobowych można oprzeć o 3 zwroty klucze, jakimi są:
- przetwarzanie danych,
- przez podmiot zewnętrzny,
- w imieniu i na rzecz administratora danych.
Warto też dodać, że powierzenie oraz administrowanie jest zawsze kategorią stanu faktycznego, dlatego nie można „umawiać się”, kto będzie administratorem a kto procesorem. O tej kwalifikacji decyduje zawsze stan faktyczny. Istnienie powierzenia wynika ze stanu faktycznego, a nie z umowy.
Administrator a procesor
Najważniejszą różnicą między administratorem a procesorem jest fakt, iż podmiot przetwarzający nie realizuje własnych celów przetwarzania, ponieważ działa w imieniu administratora. To administrator zawsze decyduje o celach przetwarzania.
Podmiot przetwarzający co do zasady nie decyduje również o sposobach przetwarzania. Tylko co do zasady, ponieważ Europejska Rada Ochrony Danych dzieli je na istotne oraz mniej istotne. Podmiot przetwarzający może decydować o mniej istotnym elemencie procesu przetwarzania.
Procesor realizuje cele przetwarzania administratora i działa on w jego imieniu, ale również pod jego zwierzchnictwem.
Więcej informacji, nie tylko w temacie powierzenia przetwarzania danych osobowych, znajdziesz w LEX Ochrona Danych Osobowych.
Zapraszamy do zapoznania się ze szkoleniem pt.: "Kiedy mamy do czynienia z powierzeniem przetwarzania danych osobowych" przeprowadzonym przez eksperta LEX dra Pawła Litwińskiego - adwokata, członka Grupy Ekspertów Europejskiej Rady Ochrony Danych, autora komentarzy i książek z dziedziny ochrony danych osobowych.
Dowiesz się z niego m.in.:
- kiedy mamy do czynienia z powierzeniem przetwarzania danych, a kiedy do powierzenia nie dochodzi;
- jak odróżnić powierzenia od udostępnienia danych i współadministrowania;
- kiedy należy zawierać umowy powierzenia przetwarzania danych.
W programie LEX dostępne są również odpowiedzi na pytania z powyższego szkolenia, w których znajdziesz odpowiedzi na najbardziej problematyczne kwestie dotyczące powierzenia przetwarzania danych osobowych.
W LEX Ochrona Danych Osobowych znajdziesz wiele publikacji, które pomogą Tobie bliżej zapoznać się z tematyką powierzenia przetwarzania danych osobowych, takich jak m.in.:
- wzory dokumentów, np.:
- Umowa powierzenia danych osobowych z monitoringu wizyjnego
- Umowa powierzenia danych osobowych firmie obsługującej CMS strony internetowej
- Umowa powierzenia danych osobowych na niszczenie dokumentów
- Umowa powierzenia danych osobowych przetwarzanych w Biuletynie Informacji Publicznej
- Umowa powierzenia danych osobowych na usługi hostingowe poczty elektronicznej
- eksperckie komentarze praktyczne takie, jak Powierzenie przetwarzania danych osobowych
- odpowiedzi na pytania zadawane przez użytkowników LEX ODO dotyczące konkretnych problemów związanych z powyższym zagadnieniem.
Inga Kwidzińska
Redakcja Publikacji Elektronicznych