Kwestia ochrony danych osobowych została uregulowana w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: RODO.
Przepisy przedmiotowego rozporządzenia mają co do zasady na celu ochronę osób fizycznych w związku z przetwarzaniem danych osobowych poprzez wdrożenie skutecznych reguł i systemów ochrony danych przez przedsiębiorstwo przetwarzające dane.
Co w przypadku, gdy zachodzi konieczność przekazania danych osobowych przetwarzanych przez jednego przedsiębiorcę do drugiego (np. kontrahentowi, z którym podjął współpracę)? Czy wówczas koniecznie będzie powierzenie przetwarzania danych na podstawie np. umowy czy wystarczy wyłącznie udostępnić takie dane?
Na powyższe pytania znajdziesz odpowiedź w niniejszym artykule.
Zgonie z art. 4 pkt 2 RODO poprzez przetwarzanie należy rozumieć operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Tym samym przetwarzaniem jest:
Z przepisu art. 28 ust 1. RODO wynika, że administrator danych osobowych może powierzyć przetwarzanie danych innemu (wybranemu) podmiotowi.
W szczególności przepis ten stanowi, iż Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
Z powyższej regulacji wynika, że powierzenie przetwarzania jest zlecane przez administratora wybranemu profesjonalnemu podmiotowi w zakresie dokonania określonych czynności przetwarzania. Działania te są podejmowane przez podmiot przetwarzający w imieniu i na rzecz administratora.
Tym samym powierzenie jest niczym innym jak zleceniem przetwarzania danych osobowych, co do zasady profesjonalnemu podmiotowi.
Więcej o przetwarzaniu danych osobowych, a przede wszystkim o samej umowie przetwarzania danych przeczytacie tutaj1.
Czynność związana z udostępnianiem danych osobowych nie została zdefiniowana w RODO, jednakże często ustawodawca odnosi się do tegoż działania w regulacjach. Przykładowo w powołanym wcześniej przepisie art. 4 pkt 2 RODO określającym znaczenie pojęcia przetwarzania danych wskazano, iż przetwarzaniem są operacje lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany taką jak m.in. innego rodzaju udostępnianie.
Za czynność udostępniania danych osobowych należy zatem uznać przekazanie danych do innego podmiotu, występującego wówczas w roli administratora danych, który będzie samodzielnie lub wspólnie z innymi ustalać cele i sposoby przetwarzania danych osobowych.
Przepis art. 6 RODO sformułuje podstawy prawnych przetwarzania danych osobowych, czyli wskazanie sytuacji, w których dokonywanie operacji na danych osobowych będzie dopuszczalne.
Odnosząc się tylko poglądowo do ustępu 1 komentowanego przepisu wskazano tzw. ogólne podstawy dopuszczalności przetwarzania danych, tj.:
W piśmiennictwie wskazuje się, że Określone w komentowanym przepisie przesłanki mają charakter samoistny, autonomiczny i niezależny, tzn. dla uznania przetwarzania danych za prawnie dopuszczalne wystarczy istnienie jednej z nich2.
W przepisach RODO brak jest uregulowanej procedury udostępniania danych osobowych, co oznacza, iż nie istnieją żadne prawne wymagania co do formy lub treści wniosku (pisma) o udostępnienie danych osobowych.
W piśmiennictwie jednak wskazuje się, że zalecane jest jednak sporządzanie co najmniej protokołu udostępnienia danych osobowych, a w miarę możliwości także odpowiedniej umowy, która będzie precyzowała zasady odpowiedzialności stron4.
W przypadku gdy wykonanie umowy będzie wymagało udostępnienia danych osobowych innemu administratorowi, to podstawę prawną przetwarzania danych polegającego na ich udostępnieniu będzie stanowił przepis art. 6 RODO.
Z analizy przepisów RODO wynika, że udostępnianie danych jest jedną z postaci przetwarzania danych osobowych. Nie ma jednak w przepisach szczególnej regulacji dla czynności udostępniania danych osobowych.
Zasadniczymi różnicami pomiędzy powierzeniem a udostępnianiem danych osobowych są:
Zachęcamy do komentowania naszych artykułów. Wyraź swoje zdanie i włącz się w dyskusje z innymi czytelnikami. Na indywidualne pytania (z zakresu podatków i księgowości) użytkowników ifirma.pl odpowiadamy przez e-mail, czat lub telefon – skontaktuj się z nami.
Administratorem Twoich danych osobowych jest IFIRMA S.A. z siedzibą we Wrocławiu. Dodając komentarz na blogu, przekazujesz nam swoje dane: imię i nazwisko, adres e-mail oraz treść komentarza. W systemie odnotowywany jest także adres IP, z wykorzystaniem którego dodałeś komentarz. Dane zostają zapisane w bazie systemu WordPress. Twoje dane są przetwarzane na podstawie Twojej zgody, wynikającej z dodania komentarza. Dane są przetwarzane w celu opublikowania komentarza na blogu, jak również w celu obrony lub dochodzenia roszczeń. Dane w bazie systemu WordPress są w niej przechowywane przez okres funkcjonowania bloga. O szczegółach przetwarzania danych przez IFIRMA S.A dowiesz się ze strony polityki prywatności serwisu ifirma.pl.
Z Biurem Rachunkowym i aplikacją IFIRMA masz wszystko pod kontrolą i w jednym narzędziu!
Co to jest udostępnianie danych osobowych?