AI Act biometria Cyberbezpieczeństwo dane osobowe e-privacy odciski palców Sztuczna Inteligencja Umowa powierzenia UOKiK

Nie każde przekazanie danych wymaga zawarcia umowy powierzenia

Powierzenie a udostępnienie danych

Nie każdy przypadek przekazania danych osobowych między dwoma podmiotami uzasadnia zawarcie między nimi umowy powierzenia danych do przetwarzania (tzw. DPA). Umowa taka jest zawierana jedynie w razie przekazywania danych między administratorem, a podmiotem przetwarzającym, gdyż jej celem jest umożliwienie administratorowi zachowania kontroli nad danymi osobowymi w sytuacji, gdy to on jest za nie w dalszym ciągu odpowiedzialny.

Stąd też wynikają postanowienia art. 28 RODO, który stanowi, że podmiot przetwarzający może działać wyłącznie na rzecz administratora, w granicach jego polecenia, oraz, że podmiot przetwarzający usuwa dane po zakończeniu usługi przetwarzania oraz umożliwia administratorowi audytów i inspekcji.

Kiedy zawierać umowę powierzenia?

Jeżeli jednak administrator przekazuje dane osobowe innemu podmiotowi, który sam będzie decydował o tym co z tymi danymi będzie robił i w jaki sposób będzie z nimi postępować, wówczas nie dochodzi do powierzenia danych do przetwarzania, a do ich udostępnienia między dwoma samodzielnymi administratorami danych. W takiej sytuacji umowa powierzenia danych do przetwarzania (DPA) nie jest zawierana, gdyż dane są udostępniane, a nie powierzane.

W celu ustalenia, czy w danej sytuacji przekazywania danych mamy do czynienia z odrębnym administratorem, czy jednak istnieje konieczność zawarcia umowy powierzenia, należy przede wszystkim dokonać analizy okoliczności faktycznych z uwzględnieniem zadań określonych podmiotów wynikających m.in. z przepisów prawa oraz zawartej pomiędzy nimi umowy.

Udostępnienie między dwoma administratorami

W wielu przypadkach, gdy następuje przekazanie realizacji zadania innemu podmiotowi, który realizuje je (także w zakresie przetwarzania danych) w sposób niezależny, samodzielnie decydując o sposobach i celach przetwarzania, bądź gdy zadania i obowiązki tego podmiotu są dodatkowo dość szczegółowo określone w przepisach prawa, istnieją podstawy do uznania ich za odrębnych administratorów.

Powierzenie wymaga podległości

Powierzenie przetwarzania powinno mieć natomiast miejsce wówczas, jeśli zewnętrzny podmiot przetwarza dane w imieniu administratora, w celach i w sposób przez niego określony. W niektórych przypadkach warto zwrócić uwagę na rozwiązanie określone w art. 26 RODO, tj. instytucję współadministrowania.

Ważne jest kto pozostaje „właścicielem” danych

Podsumowując, administrator danych osobowych zawiera umowę powierzenia, gdy dokonuje outsourcingu części lub całość swoich czynności związanych z przetwarzaniem danych osobowych na podwykonawcę, który w zakresie przetwarzania powierzonych danych realizuje cel i obowiązki leżące na administratorze, wykonując jego polecenie. W wyniku takiej umowy podmiot przetwarzający nie jest „właścicielem” otrzymanych danych, a jedynie wykonuje zadania dla administratora.

, ,
,

Prawne aspekty przyszłości

http://www.prawoprzyszlosci.pl

https://www.karandyszowski.eu

o mnie
r.pr. Aleksander karandyszowski

Jestem partnerem w kancelarii CMW Legal oraz radcą prawnym zajmującym się prawną obsługą przedsiębiorców, z naciskiem na prawo ochrony danych i prawo nowych technologii.

Blog ten początkowo był o danych osobowych. Ale ich ochrona w dobie cyfryzacji życia społecznego musi uwzględniać szerszy kontekst, toteż ten blog również będzie starał się to robić.