Kiedy można udostępnić, a kiedy powierzyć dane osobowe

Jeżeli inny podmiot chce korzystać z danych osobowych, w zasadzie w każdym takim przypadku będzie dochodziło do przetwarzania danych osobowych. Przetwarzaniem są bowiem jakiekolwiek operacje wykonywane na danych osobowych, takie jak:

• zbieranie,
  utrwalanie,

• przechowywanie,

• opracowywanie,

• zmienianie,

• udostępnianie i

• usuwanie.

Należą do nich zwłaszcza te czynności, które wykonuje się w systemach informatycznych.

Tak szeroka definicja przetwarzania danych oznacza w praktyce, że administrator danych zawsze musi udostępnić dane osobowe w jeden z dwóch sposobów przewidzianych prawem.

Osoba, której udostępnia się dane osobowe, jest w rozumieniu ustawy odbiorcą danych. Do takiego udostępnienia może dojść na jeden z dwóch sposobów:

• poprzez powierzenie przetwarzania danych osobowych;

• poprzez sprzedaż bazy danych osobowych podmiotowi trzeciemu (najczęściej nazywa się to właśnie udostępnieniem danych osobowych).

Administrator danych osobowych może zawrzeć pisemną umowę z innym podmiotem, na mocy której powierzy temu podmiotowi przetwarzanie danych osobowych. Przetwarzanie to może się odbywać wyłącznie w celu i w zakresie przewidzianym w umowie.

Przed rozpoczęciem przetwarzania powierzonych mu danych podmiot musi zastosować środki zabezpieczające zbiór danych. Chodzi tu o spełnienie wymagań z art. 36–39 ustawy o ochronie danych osobowych, tj. w szczególności:

• zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;

• ewentualnie – powołanie administratora bezpieczeństwa informacji;

• zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

Jeżeli dane osobowe są przetwarzane z wykorzystaniem systemów informatycznych, to podmiot, któremu dane się powierza, musi także spełniać wymagania określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Na podmiocie przetwarzającym powierzone mu dane ciąży dokładnie taka sama odpowiedzialność za ich przetwarzanie, jak na administratorze danych. Powierzenie mu przetwarzania danych nie czyni go jednak jeszcze administratorem danych, co oznacza zwolnienie go np. z obowiązku rejestracji bazy danych.

O ile dane osobowe powierza się do przetwarzania innemu podmiotowi tylko w określonym celu (i często jedynie na pewien czas), o tyle sprzedaż bazy danych osobowych to całkowita zmiana celu ich wykorzystywania i zupełne przekazanie danych osobowych innemu podmiotowi.

Można się pokusić o porównanie – mając „z tyłu głowy” świadomość, że jest to jedynie pewne daleko idące uproszczenie – powierzenia przetwarzania do udzielenia licencji, a sprzedaży danych osobowych do sprzedaży autorskich praw majątkowych.

Podmiot sprzedający dane osobowe musi być do tego uprawniony, tj. musi posiadać zgodę osób, których dane są przetwarzane, na udostępnienie lub sprzedaż tych danych innemu podmiotowi. Podmiot ten musi być dokładnie określony w treści samej zgody.

Kupujący bazę danych osobowych musi poinformować osoby, których dane kupił, o:

• swoim adresie,

• celu i zakresie zbierania danych,

• źródle danych (od kogo je kupił),

• prawie wglądu do danych i ich poprawiania,

• prawie żądania zaprzestania przetwarzania danych osobowych.

Na kupującym ciążą naturalnie wszystkie obowiązki, jakie ustawa nakłada na administratorów danych osobowych.

Wybór pomiędzy właściwą formą przepływu danych osobowych między odrębnymi podmiotami prawa nastręcza niekiedy poważnych trudności.

Ważne jest, aby podejmując decyzję o wyborze między tymi dwiema formami pamiętać, że firma, której przetwarzanie danych osobowych powierzono, nie może wykorzystywać ich do promowania swoich własnych produktów czy usług.

Artykuł 23 ust. 5 w związku z art. 23 ust. 4 pkt 1 ustawy pozwala bowiem na prowadzenie tzw. marketingu bezpośredniego własnych produktów lub usług administratora danych, ale już nie na marketing produktów czy usług podmiotu, któremu administrator danych je powierzył.

Jeżeli więc nabywca chce korzystać z danych osobowych do własnych celów, powinien bazę danych kupić.

Jeżeli dane mają być przekazane do państwa trzeciego, to taki transfer kieruje się swoimi specyficznymi zasadami. Może ono bowiem nastąpić, niezależnie od spełnienia wymogów, o których do tej pory pisaliśmy, tylko jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych.

Ten „odpowiedni” poziom ochrony oceniany jest – po ostatniej nowelizacji – w zasadzie przez samego administratora danych. W razie wątpliwości powinien on wystąpić o zgodę na transfer do Generalnego Inspektora Ochrony Danych Osobowych.

Dane osobowe w obrębie Europejskiego Obszaru Gospodarczego mogą być przekazywane bez tych ograniczeń.