Case studyPytania i odpowiedziRODO

Umowa powierzenia przetwarzania czy udostępnienie danych?

Z posiadanego przez nas wzoru umowy powierzenia przetwarzania danych osobowych wynika, że umowę powierzenia zwiera się do umowy na jakąś usługę lub zamówienie. Co powinniśmy napisać w przypadku, gdy nie zawarliśmy żadnej umowy, ponieważ przepisy związane z zamówieniami publicznymi nie narzucają obowiązku zawierania umów do pewnych kwot. Na co się wtedy powołać i co przytoczyć w umowie powierzenia? Podobną sytuację będziemy mieli w przypadku współpracy z TBS, gdzie w ramach współpracy dział dodatków mieszkaniowych i energetycznych przesyła do TBS listy osób, którym zostało przyznane takie świadczenie. Jak w tym przypadku skonstruować umowę, na co się powołać (czy na Ustawę)? Na jaki okres zawrzeć taką umowę, czy bezterminowo?

Nie zawsze relacja pomiędzy administratorem danych, a innym podmiotem polega na relacji administrator – podmiot przetwarzający (procesor). W niektórych przypadkach dane nie są powierzane do przetwarzania, lecz udostępniane. Udostępnianie danych osobowych ma miejsce wówczas, gdy mówimy o relacji pomiędzy dwoma administratorami.

Na czym polega różnica

Podmiotem przetwarzającym jest podmiot, organ publiczny lub osoba fizyczna czy prawna, która przetwarza dane osobowe w imieniu administratora na podstawie pisemnego porozumienia. Najczęściej podmiotem przetwarzającym jest taki podmiot, który w jakiś sposób „wyręcza” administratora w realizacji obowiązków nałożonych na administratora danych, niezależnie czy są to obowiązki pracodawcy, obowiązki wynikające z prawa lokalnego czy realizacji ustaw. Można wówczas mówić o outsourcingu procesów administratora.

Udostępnienie danych zachodzi wówczas, gdy administrator udostępnia dane osobowe innemu administratorowi na podstawie instrumentu prawnego, ale w tej sytuacji dane nie są przetwarzane w imieniu administratora, lecz udostępniane są w celu realizacji procesów własnych podmiotu zewnętrznego. Taka sytuacja może mieć w miejsce np. przy zawieraniu umów na catering, wycieczek pracowników (co nie jest obowiązkiem pracodawcy), umów ubezpieczenia, umowy z bankami itp.

Należy tu wspomnieć, iż granica pomiędzy powierzaniem, a przetwarzaniem jest czasem cienka i nie zawsze sytuacja jest jednoznaczna. Nawet prawnicy nie są w pewnych sytuacjach zgodni czy powinna w danej sytuacji zostać zawarta umowa powierzenia przetwarzania danych czy dane powinny zostać w ramach zawartej umowy „udostępnione”.

Wracając do pytania

Jeżeli przepisy prawa regulują przepływ danych, to mówimy najczęściej o udostępnieniu, a nie o powierzeniu przetwarzania danych. Przy innym podejściu, musielibyśmy zawierać umowy powierzenia przetwarzania danych z ZUS czy US, a to doprowadziłoby do absurdów. To, że przepisy o zamówieniach publicznych nie wymagają takich umów, nie można uznać, że umowy powierzenia przetwarzania danych są niepotrzebne. Wszystko zależy od przedmiotu zamówienia i czy w ramach niego wykonawca będzie realizował przetwarzanie danych w imieniu administrator, czy dane będą mu udostępnione.

W przypadku TBS, jeżeli ten podmiot przetwarza dane w imieniu administratora w ramach jego obowiązków – będziemy mówić o powierzaniu przetwarzania danych. W innym przypadku będziemy mówić o udostępnieniu.

W obydwu przypadkach, klauzula informacyjna udostępniania osobie fizycznej powinna zawierać informacje zarówno o podmiotach przetwarzających, jak i o podmiotach, którym się dane osobowe udostępnia.