3 formy przekazywania danych osobowych, a inaczej różnice między udostępnieniem, powierzeniem i przekazaniem do państwa trzeciego

2

3 formy przekazywania danych osobowych, a inaczej różnice między udostępnieniem, powierzeniem i przekazaniem do państwa trzeciego

Stosowanie przepisów ustawy o ochronie danych osobowych w praktyce nastręcza wielu problemów administratorom danych. Często stajemy przed dylematem rozróżnienia sytuacji kiedy należy udostępnić, kiedy przekazać, a kiedy powierzyć przetwarzanie danych osobowych.

1) Udostępnianie

W polskich przepisach prawa nie znajdziemy legalnej definicji udostępniania danych osobowych. Jedynie z treści słowniczka ustawy o ochronie danych osobowych z art. 7 pkt 2 wynika, że udostępnienie danych traktowane jest jako jedna z form wykonywania operacji na danych osobowych, czyli rodzaj przetwarzania danych. Ponadto art. 7 podaje nam definicję odbiorcy danych – każdego, komu udostępnia się dane osobowe z wyłączeniem pewnych podmiotów publicznych. Do udostępnienia dochodzi wtedy, kiedy inne osoby mogą otrzymać na mocy przepisów prawa, wykazując przy tym interes prawny, dane osobowe, które przetwarzamy jako administrator danych. Udostępniając dane osobowe warto pamięć, że za bezprawne udostępnienie danych osobowych (nie tylko w wersji papierowej, ale także na stronie internetowej, portalu społecznościowym, BIP) grozi administratorowi danych odpowiedzialność karna. Co więcej nie należy traktować tożsamo udostępniania danych osobowych i udostępniania dokumentów zawierających dane osobowe odbiorcy danych.

2) Powierzenie przetwarzania

Konkretne instrukcje dotyczące  powierzenia przetwarzania danych osobowych możemy odnaleźć bezpośrednio w art. 31 ustawy o ochronie danych osobowych. Przepis stanowi o formie powierzenia (umowa zawarta na piśmie), o obligatoryjnych elementach, które mają znaleźć się w umowie (cel, zakres, środki zabezpieczeń, itp.), o solidarnej odpowiedzialności stron umowy (powierzającego i przetwarzającego/procesora).

Z powierzeniem przetwarzania danych osobowych mamy do czynienia najczęściej wtedy, kiedy podmiot trzeci wykonuje operacje na danych osobowych w imieniu i na rzecz administratora danych, który jest właścicielem bazy danych osobowych.

Przepisy prawa nie zakazują nam wpisania jedynie właściwej klauzuli dotyczącej powierzenia przetwarzania danych osobowych w umowie o świadczenie konkretnych usług (np. konserwacji oprogramowania, outsourcingu z zakresie prowadzenia księgowości, hostingodawcy, przekazania dysków do likwidacji podmiotowi profesjonalnie zajmującemu się niszczeniem danych).

3) Przekazywanie danych osobowych do państwa trzeciego

To sytuacja, w której administrator danych przekazuje dane osobowe do państwa nienależącego do Europejskiego Obszaru Gospodarczego (np. do Szwajcarii). Takie przypadki w sposób szczegółowy reguluje rozdział 7 ustawy o ochronie danych osobowych. Przekazywanie danych osobowych do państw należących do Europejskiego Obszaru Gospodarczego podlega ogólnym zasadom przetwarzania, ustalonych przez przepisy ustawy i rozporządzeń wykonawczych.

Co do zasady przekazywanie danych osobowych do tzw. państwa trzecie może nastąpić tylko wtedy, gdy to państwo zapewnia odpowiedni stopień ochrony. Odpowiedni stopień musi zostać oceniony z uwzględnieniem wszystkich aspektów i okoliczności wskazanych w ustawie, m. in.: charakteru danych, celu, czasu trwania, kraju pochodzenia i kraju ostatecznego przeznaczenia oraz przepisów obowiązujących w państwie trzecim. Jeżeli natomiast zachodzi sytuacja, w której państwo docelowe nie zapewnia odpowiedniego poziomu ochrony, zgodę w drodze decyzji administracyjnej na przekazanie danych osobowych wydaje GIODO z tym zastrzeżeniem, że administrator danych, który przekazuje dane osobowe zobowiązany jest zapewnić odpowiednie standardy w zakresie ochrony prywatności osób, których te dane dotyczą.