Problem odróżnienia powierzenia od udostępnienia danych chyba nigdy nie zostanie ostatecznie rozwiązany, ale spróbuję się z nim zmierzyć, ku Państwa radości.
Na początek definicja z RODO (art.4 pkt. 2), czym jest przetwarzanie jako takie:
„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
Jak widać, udostępnianie jest jedną z operacji przetwarzania (pogrubienie moje). Dlatego wolno udostępniać dane, na takich samych zasadach, na jakich wolno te dane przetwarzać w inny sposób (pisałem o tym w artykule: Co to są dane osobowe i jak je chronić?). Dlatego jeżeli mamy podstawę prawną do przekazania danych innemu administratorowi, nie należy się tego bać.
Udostępniajmy
Klasycznym przykładem, który ciągle wraca do dyskusji, jest udostępnianie danych pracowników w różnych celach.
Wielu administratorów nie chce zaakceptować faktu, iż po prostu oddaje dane do innego administratora, traci nad nimi kontrolę i że to jest w pełni poprawne (o ile oczywiście istnieje podstawa prawna na przekazanie tych danych). Kilka miesięcy temu pisałem już o tym w kontekście medycyny pracy (Umowa powierzenia z medycyną pracy?). W tym wypadku przepisy prawa wymagają przekazania danych, czyli podstawą jest art. 6.1.c RODO.
Co jeżeli zakład pracy wysyła pracowników na szkolenie? W mojej ocenie, udostępnia wtedy dane firmie szkolącej na podstawie art. 6.1.f, czyli prawnie uzasadnionego interesu pracodawcy. Interesem jest to przeszkolenie pracownika, uzyskanie dla niego certyfikatów, być może nawet obowiązkowych w niektórych zawodach. Dane pracownika w zakresie takim jak imię, nazwisko, zakład pracy, zawód, informacje o szkoleniu będą przetwarzane przez firmę szkolącą, która stanie się oddzielnym administratorem.
Innym przykładem jest przekazanie danych pracowników mojego przedsiębiorstwa z informacją, że to są osoby, z którymi należy się kontaktować. Informacja o tym, że Adam Kustosz kieruje działem sieci w Lobo Solitario i z nim mogą się Państwo kontaktować np. w sprawie podziału sieci na zaufaną i nie zaufaną jest informacją udostępnianą na podstawie mojego prawnie uzasadnionego interesu, jakim jest umożliwienie kontaktu kontrahenta z odpowiednim pracownikiem wskazanego działu. Na stronie kontaktowej mojego przedsiębiorstwa znajdą Państwo telefon (służbowy) do Adama i e-mail (służbowy ) do Adama i każdy kontrahent, który te dane pozyska w ten sposób, staje się oddzielnym administratorem, który również zaczyna przetwarzać dane na podstawie swojego prawnie uzasadnionego interesu – nawiązanie kontaktu biznesowego z drugą stroną.
Oczywiście wcześniej zrealizowałem obowiązek informacyjny wg art. 13 RODO i powiadomiłem pracowników, że ich dane będą udostępniane właśnie w takich przypadkach i w takim celu.
Na temat udostępniania danych służbowych pracowników wypowiadał się również Zespół Rzecznika Prasowego Biura GIODO: https://giodo.gov.pl/pl/348/1118. Co prawda jest to wypowiedź archiwalna, ale nie dotarłem do opinii, jakoby podejście w tej sprawie uległo zmianie.
Podsumowując, udostępnianie występuje zawsze wtedy, gdy druga strona ma swoje własne cele przetwarzania. Bo administrator to ktoś, kto decyduje o celach i środkach przetwarzania. Dlatego bezcelowe jest podpisywanie umów powierzenia przetwarzania z firmą szkoleniową, biurem podróży, hotelem w jakim meldują się nasi pracownicy czy towarzystwem ubezpieczeniowym.
W większości przypadków udostępniamy dane i na to udostępnienie należy znaleźć podstawę prawną. Często będzie to 6.1.f, czyli realizacja interesów administratora. Ale już przykładowo ubezpieczenie pracownika w ramach zbiorowego ubezpieczenia nie. To jednak nie problem – pracownik zgłaszając się to tego ubezpieczenia wyraża zgodę na udostępnienie danych (art. 6.1.a RODO). Nawet jeżeli nie pisemnie, to samą czynnością przystąpienia do ubezpieczenia. Ważne tylko aby zrealizować obowiązek informacyjny, poinformować pracownika do jakiego TU i w jakim celu dane zostaną przekazane.
Przekazanie danych uczniów organizatorowi wyjazdu na szkolną wycieczkę również następuje na podstawie zgody rodzica, który wcześniej powinien zostać o tym poinformowany.
Nie podpisujemy umowy powierzenia z Pocztą Polską przekazując jej dane odbiorcy przesyłki nadrukowane na kopercie. Administrowanie danymi adresatów przesyłek to jest własny cel Poczty.
Nie podpisujemy umowy powierzenia z bankiem, gdy zlecamy mu przelew do kontrahenta lub pracownika. Administrowanie danymi z przelewu to własny cel banku.
Kiedy jednak powierzenie?
Umowa powierzenia przetwarzania ma miejsce zawsze wtedy, gdy administrator chce zlecić innemu podmiotowi działanie na swoich danych i te działanie podmiot zewnętrzny wykonuje nie dla własnych celów, ale dla celów administratora, który zleca takie operacje.
Klasyczny przykład – obsługa dziennika elektronicznego. Zadaniem szkoły jest prowadzenie dzienników lekcyjnych. Szkoła może to zadanie zrealizować samodzielnie, zamawiając oprogramowanie, serwery i zatrudniając informatyka-administratora do zarządzania tymi serwerami. Jest to jednak działanie skrajnie nieopłacalne i dlatego szkoła decyduje się na powierzenie tego zewnętrznemu dostawcy. Dostawca e-dziennika nie ma żadnych własnych celów w przetwarzaniu danych zapisanych w dzienniku. Robi to wyłącznie na zlecenie szkoły i w jej imieniu.
Inny przykład – przedszkole wprowadza system rozliczania czasu pobytu dziecka oparty o elektroniczne karty wejść/wyjść. To zadanie przedszkola aby właściwie ten czas rozliczyć. Ale znów – zakupienie oprogramowania, serwerów i zatrudnienie informatyków do ich obsługi jest nierentowne. Więc spisuje się umowę powierzenia przetwarzania z podmiotem zewnętrznym.
Proszę zwrócić uwagę na analogię mechanizmu powierzenia przetwarzania do mechanizmu, jaki funkcjonuje wobec pracowników (Art. 29 RODO). W obydwu przypadkach dane są przetwarzane wyłącznie na polecenie administratora.
Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora […]
Stąd wracam do myśli z początku artykułu – jeżeli gdziekolwiek jakiekolwiek operacje na danych nie są wykonywane na polecenia administratora, tam mamy do czynienia z udostępnieniem danych, a nie powierzeniem przetwarzania.
RODO ma braki
Przez cały czas mówimy o udostępnianiu lub poleceniu przetwarzania danych. Niestety RODO nie precyzuje, co zrobić, gdy dane w czynności pojawiają się niejako „przy okazji”. Na przykład serwis komputerowy zabiera sprzęt do naprawy, a danych przed naprawą nie da się usunąć/zabezpieczyć. Działaniem serwisu nie jest praca na danych, a jednak te dane otrzymuje. W zasadzie nie ma tu powierzenia, chyba że zadaniem serwisu jest naprawa bazy danych, odzyskanie danych, przeniesienie danych. Literalnie rzecz biorąc, przetwarzanie to także przechowywanie. Więc serwis wymieniający zasilacz w komputerze można powiedzieć, że dane przetwarza poprzez przechowywanie i umowa powierzenia może mieć tu zastosowanie.
A jeśli serwis te operacje robi na miejscu, w siedzibie administratora? Kiedy jedynie umowa poufności, a kiedy już powierzenie przetwarzania? Nie znam prostej odpowiedzi.
dr Maciej Kawecki w jednym z wystąpień na przełomie 2018/2019 roku zwracał uwagę na przypadek zamawiania wizytówek w drukarni i stwierdził, że w RODO brak jest mechanizmu krótkotrwałego powierzenia danych, którego celem będzie nie tyle treść tych danych, co ich właśnie choćby wydrukowanie.
Jaką umowę zawrzeć z drukarnią drukującą książeczki opłat (indywidualne konta bankowe, indywidualne kwoty opłat, imiona, nazwiska i adresy osób fizycznych na każdej z książeczek)?
Jaką umowę zawrzeć z introligatorem oprawiającym arkusze ocen?
W tych przykładach, podobnie jak w przykładzie z wizytówkami, wykonawca nie jest w zasadzie wynajmowany do operacji na danych. Ale mechanizmu brak i stąd sugestia pana doktora aby jednak umowę powierzenia zawierać.
A może współadministrowanie?
Wraz z RODO pojawiła się nowa forma – współadministrowanie. Czasami bowiem mamy do czynienia z sytuacją, gdy dwa podmioty mają wspólne cele i realizują je na partnerskich zasadach. Dwa (lub więcej) przedszkola organizujące wspólny festyn osiedlowy, dwie (lub więcej) szkoły prowadzące wspólną rekrutację, to tylko przykłady takiego współadministrowania.
Nie należy jednak zapominać, że realizując wspólne cele, należy o tym poinformować osoby fizyczne, których dane dotyczą. Na tzw. klauzuli informacyjnej powinna się więc pojawić informacja o administratorach, a nie tylko o jednym z nich.
Podsumowanie
Przekazując dane zewnętrznemu podmiotowi, należy zawsze przeprowadzić analizę, kto ma „interes” w tym przetwarzaniu. Czy jedynie strona przekazująca i wtedy następuje powierzenie przetwarzania czy obie strony wtedy następuje udostępnienie (jeśli cele są różne) lub współadministrowanie (gdy cele są wspólne).