Udostępnienie a powierzenie przetwarzania danych osobowych

W codziennej praktyce związanej z przetwarzaniem danych osobowych wielokrotnie spotykamy się z koniecznością przekazania danych znajdujących się w naszej dyspozycji innym podmiotom. Działanie takie może być wynikiem konieczności realizacji określonego przepisu prawa, na który powołuje się podmiot zainteresowany uzyskaniem danych (np. podmiot pytający dostawcę domen internetowych o dane podmiotu, który zarejestrował określoną domenę w celu wszczęcia postępowania o ochronę praw z domeny) lub postanowieniami umowy, na mocy której określony podmiot realizuje dla nas pewne usługi (np. podmiot prowadzący obsługę kadrową pytający o szczegółowe dane dotyczące pracowników w celu dokonania odpowiednich rozliczeń).

Skutkiem w obu przedstawionych sytuacjach jest faktyczne przekazanie danych osobowych osobom trzecim. Obie sytuacje obrazują jednak całkowicie dwie różne instytucje uregulowane w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej zwanej Ustawą).

Pierwszy przypadek obrazuje jedną z operacji przetwarzania danych – udostępnianie danych osobowych. Drugi przypadek, zdecydowanie częściej spotykany w praktyce każdego przedsiębiorstwa to tzw. powierzenie przetwarzania danych osobowych.

Czym zatem różnią się oba pojęcia?

UDOSTĘPNIANIE DANYCH OSOBOWYCH

Udostępnienie danych osobowych nie posiada swojej definicji w Ustawie. Z kilku postanowień Ustawy możemy jednak wywnioskować, iż jest to jedna z operacji wchodzących w skład przetwarzania danych, która realizowana jest przez administratora danych osobowych, oraz w wyniku której dochodzi do faktycznego przekazania danych. W kontekście powyższego przyjmuje się, iż na skutek udostępnienia danych osobowych dochodzi do faktycznego przekazania danych osobowych, w wyniku którego nowy dysponent tych danych staje się ich administratorem, a co za tym idzie będzie decydował o celach i środkach przetwarzania danych, oraz ponosił odpowiedzialność w zakresie przewidzianym dla administratora.

Oczywiście udostępnienie danych jako jedna z form przetwarzania danych, zgodnie z zasadą legalizmu powinno znajdować swoją podstawę w jednej z przesłanek art. 23 Ustawy. Rozwijając przedstawiony na wstępie przykład wskazać należy, iż udostępnienie danych podmiotowi, którego prawa zostały naruszone na skutek zarejestrowania określonej domeny internetowej znaleźć może swoją podstawę w art. 23 ust. 1 pkt. 2 Ustawy, tj. w sytuacji, w której przetwarzanie danych jest niezbędne dla spełnienia obowiązku wynikającego z przepisu prawa. Podmiot, który chce zainicjować określone postępowanie w celu ochrony przysługujący mu praw, zobowiązany jest zwykle do przedstawienia określonych danych swojego przeciwnika (np. w postaci adresu jego zamieszkania). Bez podania tych danych, a tym samym zrealizowania wymogu określonych przepisów proceduralnych, zainicjowanie określonego postępowania nie będzie możliwe.

W przeciwieństwie do powierzenia przetwarzania danych osobowych, przepisy Ustawy nie określają jakichkolwiek wymogów dotyczących formy udostępnienia danych.

Warto również odnotować, iż z udostępnieniem danych osobowych związanych jest szereg obowiązków informacyjnych.

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

Powierzenie przetwarzania danych osobowych to niezwykle często stosowana w praktyce instytucja, o której mowa w art. 31 Ustawy. Zgodnie z treścią ww. regulacji: Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot, który otrzymał w taki sposób dane osobowe może przetwarzać te dane wyłącznie w celu i zakresie, które opisane zostały w umowie z administratorem. Podmiot, któremu powierzono przetwarzanie danych osobowych „wyręcza” zatem administratora, będąc związany przekazanymi przez niego dyrektywami dotyczącymi celu i zakresu przetwarzania danych. Powierzenie przetwarzania danych związane jest zwykle z przekazaniem na zewnątrz przedsiębiorstwa części procesów, np. obsługi kadrowej, księgowej lub prawnej.

Administrator, który dokonał powierzenia przetwarzania danych osobowych w dalszym ciągu ponosi odpowiedzialność za przestrzeganie przepisów Ustawy (powierzenie procesu przetwarzania danych na zewnątrz nie wyłącza w tym zakresie w jakikolwiek sposób jego odpowiedzialności). Podmiot, który zobowiązał się do przetwarzania danych osobowych ponosi odpowiedzialność za zgodność tego przetwarzania z warunkami umowy.

Podsumowując możemy stwierdzić, iż podstawową okolicznością, która pozwala rozróżnić udostępnianie danych od powierzenia danych osobowych jest określenie podmiotu w imieniu, którego następuje przetwarzanie danych po ich faktycznym przekazaniu. W wyniku udostępnienia danych nowy podmiot rozpoczyna samodzielne i we własnym imieniu przetwarzanie danych zgodnie z Ustawą. Powierzając zaś przetwarzanie danych osobowych, administrator udostępnia określone dane innemu podmiotowi, który rozpoczyna proces ich przetwarzania, ale na zlecenie administratora, w zakresie i w celu przez niego określonym (w wyniku udostępnienia danych może zatem dojść do zmiany celu i zakresu przetwarzania danych, podczas gdy w wyniku powierzenia przetwarzania danych osobowych cel i zakres przetwarzania danych pozostają takie same).

Jak zatem widać skutek w postaci rozszerzenia kręgu podmiotów, które mają dostęp do danych może zostać zrealizowany w wyniku zastosowania dwóch instytucji przewidzianych w Ustawie. Wybór jednej z nich, oraz umiejętność rozpoznania ich w procesie przetwarzania danych, wiąże się dla administratora z wymiernymi skutkami w postaci chociażby różnego zakresu odpowiedzialności.

Prześlij komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *