UWAGA!

Od 25 maja 2018 r. organem właściwym w zakresie ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych. Nowa strona internetowa urzędu jest dostępna pod adresem: www.uodo.gov.pl.

Materiały zamieszczone na stronie Generalnego Inspektora Ochrony Danych Osobowych (GIODO) dostępnej pod adresem www.giodo.gov.pl mają charakter archiwalny.

POZOSTAŃ NA STRONIE ARCHIWALNEJ (GIODO)

Czy podczas zgłaszania zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych należy podać informacje o powierzeniu danych osobowych oraz o ich udostępnianiu?

Metadane
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Małgorzata Kałużyńska-Jasak 2009-08-07
Wprowadził‚ informację: 2009-08-07 14:08:10
Ostatnio modyfikował: 2013-11-28 12:56:59

Tak, gdyż wzór zgłoszenia zbioru danych do rejestracji wymaga podania takich informacji, przy czym nie należy mylić pojęcia powierzenia danych z ich udostępnianiem.

Zgłoszenie Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru do rejestracji dokonuje się poprzez wypełnienie formularza stanowiącego załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Część B punkt 3 wniosku dotyczy umowy powierzenia przetwarzania danych osobowych, przy czym jest rozgraniczenie na dokonane już powierzenie oraz na zamiar jego dokonania. Administrator danych powinien zatem zaznaczyć odpowiedni punkt.

Powierzenie przetwarzania danych uregulowane jest w art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Polega ono na tym, że administrator danych powierza w drodze pisemnej umowy ich przetwarzanie – w całości lub w części - innemu podmiotowi. Oznacza to, że administrator nie musi osobiście wykonywać wszystkich czynności związanych z procesem przetwarzania danych osobowych. W praktyce umowa powierzenia przetwarzania danych zawierana jest np. w celu dochodzenia wierzytelności lub w związku ze zleceniem innemu podmiotowi realizacji części zadań administratora (tzw. outsourcing).

Umowa powierzenia powinna być zawarta na piśmie oraz wskazywać zakres i cel przetwarzania danych. Pamiętać należy, że podmiot przetwarzający dane na podstawie umowy powierzenia zawartej z administratorem danych nie staje się ich administratorem. Nie spoczywają na nim obowiązki, którymi ustawodawca obciążył administratora danych, m. in. obowiązek zgłoszenia zbioru danych do rejestracji. Podmiot ten jest jednak zobowiązany do podjęcia środków zabezpieczających przetwarzane dane.

Natomiast informacja o udostępnianiu danych odbiory danych jest zawarta w pkt 13 części D wniosku o rejestrację. Udostępnianie danych osobowych określić można jako wszelkie działania stwarzające innym osobom możliwość zapoznania się z danymi. Udostępnianie może zatem polegać na przekazie ustnym, pisemnym, za pomocą powszechnych środków przekazu, poprzez sieć komputerową, itp. Nie oznacza to jednak, że umożliwienie zapoznania się z danymi osobowymi jakiemukolwiek podmiotowi jest udostępnianiem danych, o którym mowa w pkt 13 zgłoszenia. Musi ono nastąpić na rzecz odbiorcy danych, którym jest każdy, komu udostępnia się dane osobowe, z wyłączeniem: osoby, której dane dotyczą, osoby upoważnionej do przetwarzania danych, przedstawiciela administratora danych mającego siedzibę w państwie trzecim, przetwarzającego dane przy wykorzystaniu środków technicznych znajdujących się na terytorium RP, podmiotu który przetwarza dane na podstawie umowy powierzenia zawartej z administratorem, a także organów państwowych i organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem (art. 7 pkt 6 ustawy).

W związku z powyższym nie należy mylić pojęcia powierzenia danych z pojęciem udostępniania danych. Podkreślić należy, że w rozumieniu ustawy o ochronie danych osobowych podmiot, któremu powierzono przetwarzanie danych nie jest odbiorcą danych. W związku z tym informację o powierzeniu przetwarzania danych oraz o podmiocie, któremu powierzono to przetwarzanie administrator danych wpisuje wyłącznie w punkcie 3 zgłoszenia. Natomiast w punkcie 13 wpisać należy jedynie dane identyfikacyjne odbiorców lub kategorie odbiorców, przy czym pamiętać należy o wymienionych wyżej podmiotach, wyłączonych spod definicji „odbiorcy danych”.

Ostatnie aktualności