GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Administrator czy podmiot przetwarzający? – stanowisko Bawarskiego Organu

Art. 2-Administrator czy podmiot przetwarzający? – stanowisko Bawarskiego Organu

Na stronie internetowej Bawarskiego Urzędu Krajowego ds. Nadzoru nad Ochroną Danych (jeden z niemieckich organów nadzorczych działających na poziomie krajów związkowych),
dostępne jest stanowisko dotyczące określenia tego, czy w danej sytuacji mamy do czynienia z powierzeniem przetwarzania danych osobowych czy nie.

Zawiera ono wiele ciekawych przykładów, które w części pokrywają się z przykładami wymienionymi w podobnym dokumencie, przyjętym przez Niemiecką Konferencję Ochrony Danych (DSK – dokument  dostępny jest pod linkiem:

https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_13.pdf), jednak dodano w nim kilkanaście nowych przykładów jak należy te role przyporządkować.

Treść dokumentu w języku niemieckim, którego tłumaczenie zamieszczono poniżej znajduje się pod linkiem: https://www.lda.bayern.de/media/FAQ_Abgrenzung_Auftragsverarbeitung.pdf.

Pytanie: Co jest powierzeniem przetwarzania danych, a co nie?

Powierzenie przetwarzania danych z punktu widzenia przepisów o ochronie danych osobowych,  ma zdaniem organu miejsce jedynie wtedy, gdy jeden podmiot zleci innemu podmiotowi operacje, której istotą jest przetwarzanie danych osobowych. Innymi słowy, za powierzenie nie uważa się operacji, w ramach których przetwarzanie danych nie jest główną, pierwszorzędną aktywnością, a jedynie efektem pobocznych innych toczących się procesów. Czyli jest niejako przy okazji.

Do powierzenia przetwarzania danych w rozumieniu art. 4 punkt 8 RODO dochodzi zwykle w następujących sytuacjach:

Nie dochodzi do powierzenia przetwarzania danych w rozumieniu art. 4 ust. 8 RODO (lecz do odrębnego administrowania – udostępnienie ), zwykle w odniesieniu do następujących, przykładowych sytuacji:

a) przy korzystaniu z usług zewnętrznych ze strony samodzielnego administratora:

W zależności od konkretnego przypadku administrator, jeżeli zajdzie taka potrzeba, precyzuje cel oraz określa poufność w odniesieniu do przekazanych danych.

b) co do zasady nie dochodzi do zlecenia czynności przetwarzania danych osobowych lecz umowa dotyczy innych czynności:

W zależności od konkretnego przypadku administrator, jeżeli zajdzie taka potrzeba, precyzuje cel oraz określa poufność w odniesieniu do przekazanych danych.