Kiedy można udostępnić, a kiedy powierzyć dane osobowe

Data: 02-08-2015 r.

Dane osobowe gromadzone przez administratora danych mogą być, pod pewnymi warunkami, udostępniane innym podmiotom. W praktyce niejednokrotnie zdarza się, że na przykład dane zebrane przez agencję reklamową są przekazywane jej klientowi w celu prowadzenia kolejnych kampanii marketingowych już przez samego klienta lub we współpracy z inną agencją reklamową.

Jeżeli inny podmiot chce korzystać z danych osobowych, w zasadzie w każdym takim przypadku będzie dochodziło do przetwarzania danych osobowych. Przetwarzaniem są bowiem jakiekolwiek operacje wykonywane na danych osobowych, takie jak:

  • zbieranie,
    utrwalanie,

  • przechowywanie,

  • opracowywanie,

  • zmienianie,

  • udostępnianie i

  • usuwanie.

Należą do nich zwłaszcza te czynności, które wykonuje się w systemach informatycznych.

Tak szeroka definicja przetwarzania danych oznacza w praktyce, że administrator danych zawsze musi udostępnić dane osobowe w jeden z dwóch sposobów przewidzianych prawem.

Osoba, której udostępnia się dane osobowe, jest w rozumieniu ustawy odbiorcą danych. Do takiego udostępnienia może dojść na jeden z dwóch sposobów:

  • poprzez powierzenie przetwarzania danych osobowych;

  • poprzez sprzedaż bazy danych osobowych podmiotowi trzeciemu (najczęściej nazywa się to właśnie udostępnieniem danych osobowych).

Powierzenie przetwarzania danych osobowych

Administrator danych osobowych może zawrzeć pisemną umowę z innym podmiotem, na mocy której powierzy temu podmiotowi przetwarzanie danych osobowych. Przetwarzanie to może się odbywać wyłącznie w celu i w zakresie przewidzianym w umowie.

Przed rozpoczęciem przetwarzania powierzonych mu danych podmiot musi zastosować środki zabezpieczające zbiór danych. Chodzi tu o spełnienie wymagań z art. 36–39 ustawy o ochronie danych osobowych, tj. w szczególności:

  • zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;

  • ewentualnie – powołanie administratora bezpieczeństwa informacji;

  • zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

Jeżeli dane osobowe są przetwarzane z wykorzystaniem systemów informatycznych, to podmiot, któremu dane się powierza, musi także spełniać wymagania określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Na podmiocie przetwarzającym powierzone mu dane ciąży dokładnie taka sama odpowiedzialność za ich przetwarzanie, jak na administratorze danych. Powierzenie mu przetwarzania danych nie czyni go jednak jeszcze administratorem danych, co oznacza zwolnienie go np. z obowiązku rejestracji bazy danych.

Udostępnienie danych osobowych

O ile dane osobowe powierza się do przetwarzania innemu podmiotowi tylko w określonym celu (i często jedynie na pewien czas), o tyle sprzedaż bazy danych osobowych to całkowita zmiana celu ich wykorzystywania i zupełne przekazanie danych osobowych innemu podmiotowi.

Można się pokusić o porównanie – mając „z tyłu głowy” świadomość, że jest to jedynie pewne daleko idące uproszczenie – powierzenia przetwarzania do udzielenia licencji, a sprzedaży danych osobowych do sprzedaży autorskich praw majątkowych.

Podmiot sprzedający dane osobowe musi być do tego uprawniony, tj. musi posiadać zgodę osób, których dane są przetwarzane, na udostępnienie lub sprzedaż tych danych innemu podmiotowi. Podmiot ten musi być dokładnie określony w treści samej zgody.

Kupujący bazę danych osobowych musi poinformować osoby, których dane kupił, o:

  • swoim adresie,

  • celu i zakresie zbierania danych,

  • źródle danych (od kogo je kupił),

  • prawie wglądu do danych i ich poprawiania,

  • prawie żądania zaprzestania przetwarzania danych osobowych.

Na kupującym ciążą naturalnie wszystkie obowiązki, jakie ustawa nakłada na administratorów danych osobowych.

Kiedy udostępnienie, a kiedy powierzenie

Wybór pomiędzy właściwą formą przepływu danych osobowych między odrębnymi podmiotami prawa nastręcza niekiedy poważnych trudności.

Ważne jest, aby podejmując decyzję o wyborze między tymi dwiema formami pamiętać, że firma, której przetwarzanie danych osobowych powierzono, nie może wykorzystywać ich do promowania swoich własnych produktów czy usług.

Artykuł 23 ust. 5 w związku z art. 23 ust. 4 pkt 1 ustawy pozwala bowiem na prowadzenie tzw. marketingu bezpośredniego własnych produktów lub usług administratora danych, ale już nie na marketing produktów czy usług podmiotu, któremu administrator danych je powierzył.

Jeżeli więc nabywca chce korzystać z danych osobowych do własnych celów, powinien bazę danych kupić.

Przekazywanie danych do państwa trzeciego

Jeżeli dane mają być przekazane do państwa trzeciego, to taki transfer kieruje się swoimi specyficznymi zasadami. Może ono bowiem nastąpić, niezależnie od spełnienia wymogów, o których do tej pory pisaliśmy, tylko jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych.

Ten „odpowiedni” poziom ochrony oceniany jest – po ostatniej nowelizacji – w zasadzie przez samego administratora danych. W razie wątpliwości powinien on wystąpić o zgodę na transfer do Generalnego Inspektora Ochrony Danych Osobowych.

Dane osobowe w obrębie Europejskiego Obszaru Gospodarczego mogą być przekazywane bez tych ograniczeń.

Marcin Sarna, radca prawny

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Opinie czytelników

data:

Panie Marcinie S. napisał Pan, że "Artykuł 23 ust. 5 w związku z art. 23 ust. 4 pkt 1 ustawy pozwala bowiem na prowadzenie tzw. marketingu bezpośredniego...". Mam pytanie - czy na pewno w ustawie ODO występuje ust. 5 w art. 23 ? czy może ja mam niewłaściwy tekst tej ustawy ? ponieważ w/g mnie art. 23 kończy się na ust. 4.

Ocena użytkownika:
4
Zgłoś naruszenie regulaminu

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Biznesplan

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

Polecane artykuły

Polecamy kancelarię:

  • Kancelaria Prawna Iurisco Edyta Przybyłek

    ul. Zgrzebnioka 28, 40-520 Katowice

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marcin Majcherczyk

    ul. Stawowa 4 lok. 39, 41-200 Sosnowiec

    Wyświetl wizytówkę
  • THE N.E.W.S. LAW CENTER Kancelaria Adwokatów i Radców Prawnych

    ul. Kazachska 1/89, 02-999 Warszawa

    Wyświetl wizytówkę
  • adwokat Wojciech Rudzki - kancelaria adwokacka

    Józefa Piłsudskiego 40/4 Kraków 31 - 111

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Robert Dudkowiak

    ul. Jana Pawła II 11 lok. 5, 62-300 Września

    Wyświetl wizytówkę
  • Kancelaria Adwokacka Adwokata Piotra Sęka

    ul. Narutowicza 44 lok. 20, 90-135 Łódź

    Wyświetl wizytówkę
  • Kancelaria Radców Prawnych ARVE M.Kusztan & R.Ponichtera Sp. K.

    ul. Czysta 4, 50-013 Wrocław

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marek Foryś

    ul. Słupecka 9/1, Gdynia

    Wyświetl wizytówkę
  • Kancelaria MERITUM

    ulica Westerplatte 13/5, 31-033 Kraków

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Radosław Tymiński

    Łukowska 9 Lok. 126, 04-133 Warszawa

    Wyświetl wizytówkę
Array ( [docId] => 37640 )
Array ( [docId] => 37640 )

Array ( [docId] => 37640 )