Powierzamy czy udostępniamy dane?

Wielu Administratorów i Inspektorów ochrony danych osobowych ma dylemat czy w poszczególnych przypadkach współpracy z podmiotami zewnętrznymi dochodzi do udostępniania danych na podstawie przepisów prawa czy też do powierzenia ich do przetwarzania zgodnie z art. 28 RODO. Wątpliwości dotyczą zwłaszcza kwestii ewentualnego obowiązku zawierania umowy powierzenia.

W RODO jasno określono warunki na jakich administrator powierza do przetwarzania dane osobowe podmiotowi przetwarzającemu. We wszystkich przypadkach, gdy Administrator z własnej inicjatywy (a nie na podstawie przepisów prawa) korzysta z usług podmiotów, które na rzecz tego Administratora będą przetwarzać dane konieczne jest zawarcie umowy powierzenia. Najczęstszymi przykładami współpracy między Administratorem a podmiotem przetwarzającym jest korzystanie z zewnętrznego biura kadrowo-księgowego, kancelarii prawnej, firmy świadczącej usługi w zakresie BHP lub obsługi newslettera.

W przypadkach, gdzie mamy do czynienia z udostępnieniem danych osobowych na podstawie przepisów prawa (np. kierowanie pracownika na badania wstępne lub okresowe, zgłaszanie pracownika do ZUS, prowadzenie przez pracodawcę rozliczeń z US, współpraca szkoły i GOPS w celu realizacji dożywiania dzieci w ramach rządowego programu) umowy powierzenia nie są wymagane. Każdy z tych podmiotów jest odrębnym administratorem względem przetwarzanych przez siebie danych i przetwarza te dane w oparciu o obowiązujące przepisy prawa.

Należy pamiętać, że do podstawowych obowiązków Administratora należy:

1) zawarcie umowy powierzenia z podmiotami, którym powierza się dane osobowe oraz weryfikacja czy podmiot przetwarzający zapewnia wystarczające gwarancje bezpieczeństwa powierzonych danych,

2) udostępnianie danych wyłącznie w zakresie i na zasadach wynikających z przepisów prawa uprawniających do udostępnienia danych osobowych.