Tło strzałki Strzałka
przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Prawny
  3. Ochrona danych
  4. Komu można udostępnić dane osobowe - prawne aspekty bezpiecznego udostępniania danych osobowych

Komu można udostępnić dane osobowe - prawne aspekty bezpiecznego udostępniania danych osobowych

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

RODO przewiduje szczególne zasady przekazywania danych osobowych przez ich administratora innym podmiotom, w tym odbiorcom i procesorom. Zapoznaj się z poniższym artykułem i dowiedz się więcej o tym, komu można udostępnić dane osobowe i na jakich zasadach!

Komu można udostępnić dane osobowe - kim jest odbiorca danych osobowych?

W kontekście przekazywania danych osobowych RODO używa pojęcia odbiorcy. Odbiorca oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe niezależnie od tego, czy jest stroną trzecią.

Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców. Przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania.

Organy publiczne, którym ujawnia się dane osobowe w związku z ich prawnym obowiązkiem sprawowania funkcji publicznej (takich jak organy podatkowe, organy celne, finansowe jednostki analityki finansowej, niezależne organy administracyjne czy organy rynków finansowych regulujące i nadzorujące rynki papierów wartościowych), nie powinny być traktowane jako odbiorcy, jeżeli otrzymane przez nie dane osobowe są im niezbędne do przeprowadzenia określonego postępowania w interesie ogólnym zgodnie z prawem Unii lub prawem państwa członkowskiego. Żądanie ujawnienia danych osobowych, z którym występują takie organy publiczne, powinno zawsze mieć formę pisemną, być uzasadnione, mieć charakter wyjątkowy, nie powinno dotyczyć całego zbioru danych ani prowadzić do połączenia zbiorów danych. Przetwarzając otrzymane dane osobowe, takie organy powinny przestrzegać mających zastosowanie przepisów o ochronie danych zgodnie z celami przetwarzania.

Zasady przekazywania danych osobowych odbiorcom

Każda osoba, której dane dotyczą, powinna mieć prawo do wiedzy i informacji co do odbiorców danych osobowych.

Administrator zobowiązany jest podać osobie, której dane dotyczą, w szczególności informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją, a także, gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub wzmiankę o odpowiednich lub właściwych zabezpieczeniach i informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.

Jeżeli dane osobowe można zgodnie z prawem ujawnić innemu odbiorcy, należy poinformować o tym osobę, której dane dotyczą, w momencie pierwszorazowego ujawnienia danych temu odbiorcy.

Informacje o kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych zamieszcza się w rejestrze czynności przetwarzania.

Przekazywanie danych osobowych procesorom

Podmiot przetwarzający (procesor) oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Przykład 1.

Pracodawca zleca przeszkolenie pracowników zewnętrznej firmie w zakresie obowiązkowego szkolenia BHP. Na jakiej podstawie dochodzi do przekazania danych osobowych pracowników? 

Zewnętrzny podmiot przetwarzać będzie dane na zlecenie pracodawcy, który jest ich administratorem. Podstawą przekazania danych jest umowa powierzenia przetwarzania danych osobowych.

Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający oraz administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:

  • przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
  • zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
  • podejmuje wszelkie środki wymagane na mocy art. 32 RODO;
  • przestrzega warunków korzystania z usług innego podmiotu przetwarzającego;
  • biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;
  • uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO;
  • po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
  • udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

W związku z obowiązkiem przetwarzania danych osobowych wyłącznie na polecenie administratora podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii Europejskiej bądź państwa członkowskiego o ochronie danych.

Umowa lub inny akt prawny będący podstawą powierzenia przetwarzania danych osobowych mają formę pisemną, w tym formę elektroniczną.

Jeżeli podmiot przetwarzający naruszy niniejsze rozporządzenie przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania.

Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

Każdy podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:

  • imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w którego imieniu działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
  • gdy ma to zastosowanie – informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń;
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Obowiązki dotyczące rejestru nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą;
  • nie ma charakteru sporadycznego lub
  • obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Podstawa prawna do udostępnienia danych osobowych

Udostępnienie danych osobowych stanowi czynność przetwarzania danych osobowych, w związku z czym każdorazowo należy ustalić, na jakiej podstawie do takiego udostępnienia dochodzi.

Przykład 2.

Pracodawca organizuje wyjazd firmowy – na jakiej podstawie może przekazać dane osobowe pracowników uczestniczących w wyjeździe organizatorowi? 

Jeżeli uczestnicy wyjazdu akceptują regulamin wyjazdu przygotowany przez administratora – można rozważyć jako podstawę udostępnienia danych organizatorowi wykonanie umowy między pracodawcą a pracownikiem. W konkretnym przypadku właściwą podstawą może się także okazać uzasadniony interes administratora. Każdorazowo należy natomiast zadbać o przekazanie właściwej klauzuli informacyjnej uczestnikom.

Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

  • osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym celu lub ich większej liczbie;
  • przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
  • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Polecamy:

KSeF, czyli Krajowy System e-Faktur

Zastrzeżenie PESEL – jakie niesie konsekwencje?
Styczeń 2025
13
Poniedziałek
  • Dzień ustawowo wolny od pracy
  • Remanent początkowy
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT 7K
  • VAT UE (elektroniczna)
  • PIT 4R
  • PIT 8AR
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Zaświadczenie o niekaralności - jak je uzyskać i ile kosztuje?
  2. Monitoring pracowników - jakie formalności, żeby zamontować kamery w firmie?
  3. Wymeldowanie z pobytu stałego - jak wymeldować siebie lub inną osobę?
  4. 7 zasad, które warto znać, jak zaliczyć wpłatę otrzymaną od kontrahenta
  5. RODO - czyli jakie dane podlegają ochronie danych osobowych?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Ochrona danych

Zastrzeżenie PESEL – jakie niesie konsekwencje?

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Kongres HR 2025: HR jako strategiczny partner: budowanie bezpiecznego, efektywnego i przyszłościowego środowiska pracy
Mobile Trends Conference 2025 – najważniejsze wydarzenie dla branży technologicznej już w marcu!
2. Expo HR „Sprawdzone rozwiązania dla Twojej kadry”
Konferencja dla Biur Rachunkowych, Księgowych i Przedsiębiorców: Innowacje i Wyzwania w Świecie Księgowości
Konferencja AI TASK FORCE Innovation Summit Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów