Kto bierze udział w przetwarzaniu danych osobowych i jakie są jego obowiązki? Cz. 2

27.09.2016

Wiemy już czym są dane osobowe oraz na czym polega ich przetwarzanie, jednak musimy mieć świadomość, że przetwarzanie danych osobowych to niejednokrotnie złożony proces, w którym może brać udział szereg podmiotów.

Poczynając od tych, które pozyskują dane w określonych celach, poprzez ich pracowników czy współpracowników, kończąc na podmiotach zewnętrznych, którym dostęp do danych jest niezbędny w związku np. z realizacją umowy. W tej części artykułu skupimy się na głównych podmiotach biorących udział w przetwarzaniu danych osobowych oraz omówimy obowiązki na nich ciążące.

Czy jestem administratorem danych osobowych?

Zgodnie z ustawą administratorem danych osobowych jest organ, jednostka organizacyjna, podmiot lub osoby, które decydują o celach i środkach przetwarzania danych osobowych. Podmiotami tymi są w szczególności osoby fizyczne, osoby prawne oraz jednostki organizacyjne niebędące osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, mające siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.

Jeżeli zatem firma ma siedzibę w Polsce albo w państwie trzecim, ale przetwarza dane osobowe z wykorzystaniem środków technicznych znajdujących się na terytorium Polski, gromadzi jakiekolwiek dane osobowe (a więc je przetwarza) i czyni to w związku z prowadzoną działalnością zawodową lub zarobkową, a ponadto decyduje o celach i środkach przetwarzania tych danych, należy uznać, że jest administratorem danych osobowych, a zatem winna stosować w swojej działalności przepisy Ustawy. Dla przykładu, za administratora danych osobowych zobowiązanego do wypełniania obowiązków nałożonych Ustawą należałoby uznać spółkę mającą siedzibę w Niemczech, ale przetwarzającą dane osobowe z wykorzystaniem serwerów zlokalizowanych na terytorium Polski.

Powierzenie do przetwarzania, udostępnienie czy upoważnienie do przetwarzania danych osobowych?

Administrator danych osobowych może przetwarzać dane osobowe samodzielne, ale również przy udziale innych osób, tj. może upoważnić konkretne osoby do przetwarzania danych zgromadzonych w swoich zbiorach, udostępnić dane innemu podmiotowi lub powierzyć dane do przetwarzania w określonym celu i zakresie przez podmiot zewnętrzny. W tym kontekście należy więc odróżnić osoby upoważnione do przetwarzania danych osobowych, odbiorców danych oraz podmioty, którym powierzono do przetwarzania dane osobowe.

Upoważnienie do przetwarzania danych osobowych właściwe będzie w sytuacjach wewnętrznego dopuszczenia do przetwarzania danych osobowych. Upoważnienie powinno zostać zatem nadane m.in. pracownikom administratora danych osobowych, którzy w związku z zatrudnieniem i w zakresie obowiązków pracowniczych powinni otrzymać dostęp do przetwarzania danych zgromadzonych w konkretnych zbiorach.

Odbiorcą danych jest natomiast każdy podmiot zewnętrzny, któremu udostępniono dane osobowe. Odbiorcami takimi nie będą m.in. osoby, których dane dotyczą, osoby upoważnione do przetwarzania danych, podmioty, którym powierzono dane do przetwarzania oraz organy państwowe i organy samorządu terytorialnego. Przekazanie danych odbiorcy będzie zwykle warunkowane zgodą zainteresowanego na udostępnienie jego danych podmiotowi trzeciemu. Odbiorca danych wraz z otrzymaniem danych do przetwarzania staje się ich administratorem, a zatem obowiązany jest zachować wymogi ustawowe przypisane do administratorów danych.

Powierzenie danych do przetwarzania podmiotowi zewnętrznemu następuje w drodze umowy zawartej w trybie art. 31 Ustawy. Podmiot, któremu powierzono do przetwarzania dane jest tzw. procesorem, a więc przetwarza dane osobowe tylko w celu i w zakresie określonym w umowie o powierzenie przetwarzania danych osobowych. Wobec takiego podmiotu nie są zatem spełnione przesłanki decydujące o uznaniu go za administratora danych osobowych w zakresie danych mu powierzonych.

Podsumowując, aby ustalić czy w odniesieniu do konkretnych, udostępnionych lub przekazanych przez administratora danych zbiorów danych jesteśmy osobami upoważnionymi, odbiorcami czy podmiotem, któremu powierzono przetwarzanie danych, musimy odpowiedzieć sobie na pytania, czy możemy swobodnie decydować o celach i środkach przetwarzania przekazanych nam danych i czy wobec administratora jesteśmy podmiotem zewnętrznym czy może działamy w ramach organizacji administratora.

Jakie obowiązki mają podmioty przetwarzające dane osobowe?

Każdy podmiot przetwarzający dane niezależnie od tego, jaką rolę pełni w procesie przetwarzania danych winien stosować się do obowiązków nałożonych na niego w drodze Ustawy.

Najszerszy zakres obowiązków został nałożony, co oczywiste, na administratora danych osobowych oraz odbiorcę danych, który uznawany jest również za administratora danych, a zatem winien wywiązywać się z obowiązków, które zostały zastrzeżone dla administratora danych. Do obowiązków tych w szczególności należy:

  1. Stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczanie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą;
  2. Prowadzenie dokumentacji opisującej stosowane środki, o których mowa w pkt. 1;
  3. Dopuszczenie do przetwarzania danych wyłącznie osób, które uprzednio otrzymały od administratora danych stosowne upoważnienie oraz prowadzenie ewidencji osób upoważnionych;
  4. Prowadzenie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane;
  5. Dokonanie rejestracji zbiorów danych lub powołanie i zgłoszenie administratora bezpieczeństwa informacji.

Podmiot, któremu powierzono do przetwarzania dane osobowe w drodze umowy jest obowiązany przed rozpoczęciem przetwarzania danych:

  1. Podjąć środki zabezpieczające zbiór danych przypisane dla administratora danych osobowych, a opisane w pkt. 1-4 powyżej;
  2. Spełnić wymagania, o których mowa w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Za przestrzeganie tych przepisów podmiot ten ponosi odpowiedzialność tak jak administrator danych osobowych. Co istotne, to że podmiot przetwarzający dane nie musi zgłaszać do rejestru GIODO zbiorów danych powierzonych mu do przetwarzania nie oznacza, że jest zwolniony z tego obowiązku w stosunku do zbiorów, których jest administratorem.

Inny zakres obowiązków został nałożony na podmioty, którym nadano upoważnienie do przetwarzania danych osobowych. Jako że podmioty te działają z upoważnienia administratora danych osobowych, zobowiązane są zachować w tajemnicy dane, do których mają dostęp oraz zobowiązane są przestrzegać zasady ochrony danych osobowych przyjęte u administratora danych, który nadał upoważnienie. Zasady te wynikać będą w szczególności z dokumentacji z zakresu ochrony danych osobowych tj. polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Mam nadzieję, że udało mi się przybliżyć Państwu przynajmniej podstawowe pojęcia z zakresu ochrony danych osobowych. W kolejnym artykule z cyklu danych osobowych omówię podstawy legalnego przetwarzania danych osobowych.

Pierwsza część artykułu: Dane osobowe – czym są i na czym polega ich przetwarzanie cz. 1

***
Kinga Koczara
Radca Prawny
Kancelaria Prawna Cebula i Współpracownicy www.jciw.pl