Na stronie internetowej Bawarskiego Urzędu Krajowego ds. Nadzoru nad Ochroną Danych (jeden z niemieckich organów nadzorczych działających na poziomie krajów związkowych),
dostępne jest stanowisko dotyczące określenia tego, czy w danej sytuacji mamy do czynienia z powierzeniem przetwarzania danych osobowych czy nie.

Zawiera ono wiele ciekawych przykładów, które w części pokrywają się z przykładami wymienionymi w podobnym dokumencie, przyjętym przez Niemiecką Konferencję Ochrony Danych (DSK – dokument  dostępny jest pod linkiem:

https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_13.pdf), jednak dodano w nim kilkanaście nowych przykładów jak należy te role przyporządkować.

Treść dokumentu w języku niemieckim, którego tłumaczenie zamieszczono poniżej znajduje się pod linkiem: https://www.lda.bayern.de/media/FAQ_Abgrenzung_Auftragsverarbeitung.pdf.

Pytanie: Co jest powierzeniem przetwarzania danych, a co nie?

Powierzenie przetwarzania danych z punktu widzenia przepisów o ochronie danych osobowych,  ma zdaniem organu miejsce jedynie wtedy, gdy jeden podmiot zleci innemu podmiotowi operacje, której istotą jest przetwarzanie danych osobowych. Innymi słowy, za powierzenie nie uważa się operacji, w ramach których przetwarzanie danych nie jest główną, pierwszorzędną aktywnością, a jedynie efektem pobocznych innych toczących się procesów. Czyli jest niejako przy okazji.

Do powierzenia przetwarzania danych w rozumieniu art. 4 punkt 8 RODO dochodzi zwykle w następujących sytuacjach:

  • wsparcie techniczne przy obliczaniu wysokości wynagrodzenia, usługi księgowe, centra rozliczeniowe,
  • outsourcing w ramach przetwarzania danych w chmurze, o ile nie jest potrzebny merytoryczny dostęp do danych dostawcy usług chmury;
  • przetwarzanie adresów e-mail w celach reklamowych przez spółkę zajmującą się wysyłaniem wiadomości elektronicznych;
  • przetwarzanie danych klientów przez Call-Center, bez istotnej własnej przestrzeni decyzyjnej;
  • outsourcing administracji pocztą elektroniczną oraz podobnych usług dotyczących danych na stronie internetowej (np. wsparcie w zakresie formularzy kontaktowych lub pytań użytkowników);
  • wprowadzanie danych, konwertowanie danych lub skanowanie dokumentów;
  • outsourcing przechowywania zapasowych kopii bezpieczeństwa lub innego archiwizowania;
  • niszczenie nośników danych przez usługodawcę;
  • testowanie oraz konserwacja (np. zdalna konserwacja, wsparcie zewnętrzne); zautomatyzowanych procedur lub urządzeń do przetwarzania danych, jeżeli przy świadczeniu takich usług dostęp do danych osobowych nie może być wykluczony;
  • scentralizowane centrum usług wspólnych w ramach koncernu, takie jak planowanie podróży służbowych czy obliczanie kosztów podróży (w każdym przypadku, gdy nie dochodzi do współadministrowania, zgodnie z art. 28 RODO).
  • centra obliczeniowe aptek (zgodnie z § 300 niemieckiego Kodeksu Prawa Socjalnego część V);
  • izba rozliczeniowa lekarzy/ dentystów, bez faktoringu;
  • ochrona, która odbiera gości i przesyłki przy bramie;
  • podmioty zewnętrzne, usługodawcy itd., którym zleca się odczytywanie oraz/ lub zbieranie, względnie przetwarzanie opłat za media w mieszkaniach czynszowych (ogrzewanie, prąd, woda, itd.);
  • usługodawcy zajmujący się organizacją wiz, którzy otrzymują w tym celu dane zatrudnionych osób od pracodawcy.

Nie dochodzi do powierzenia przetwarzania danych w rozumieniu art. 4 ust. 8 RODO (lecz do odrębnego administrowania – udostępnienie ), zwykle w odniesieniu do następujących, przykładowych sytuacji:

a) przy korzystaniu z usług zewnętrznych ze strony samodzielnego administratora:

  • w przypadku zawodów poddanych tajemnicy zawodowej (doradca podatkowy, adwokat, zewnętrzny lekarz zakładowy, rewident gospodarczy);
  • w przypadku agencji windykacyjnych przy przeniesieniu roszczeń;
  • w przypadku transferu pieniędzy przez instytucje bankowe;
  • w przypadku usług pocztowych dostarczania listów lub paczek;
  • działalność administracji budynku;
  • detektywi dokonujący obserwacji/ nagrywania/ prowadzący dochodzenie;
  • producenci oraz hurtownicy, którzy otrzymują od sprzedawców detalicznych adresy ich klientów, w związku z uzgodnioną z tymi klientami bezpośrednią wysyłką (zlecenie wysyłki towarów);
  • podmiot wysyłający kwiaty lub wina, który otrzymuje listę adresów do wysyłki prezentów w postaci kwiatów, względnie win do osób trzecich (zlecenie wysyłki towarów);
  • zarządca masy upadłościowej;
  • agencja rekrutacyjna na zlecenie osoby szukającej pracy lub pracodawcy (więcej informacji w przykładzie 6 Opinii Grupy Roboczej WP169);
  • dostawca platformy internetowej w celu pośredniczenia pomiędzy sprzedawcą
    a konsumentem, którzy mogą się spotkać na platformie;
  • usługi telekomunikacyjne, chyba że dochodzą do nich usługi towarzyszące takie jak archiwizacja telefonów służbowych czy usuwanie danych z chmury, itd. (więcej informacji w przykładzie 1 Opinii Grupy Roboczej WP169);
  • pośrednicy ubezpieczeniowi/ finansowi; pośrednicy w ramach umów z klientami;
  • przedstawiciel handlowy w ramach doradztwa oraz pośrednictwa;
  • przesłanie danych uczestnika szkolenia w celu przeprowadzenia szkolenia przez zewnętrznego trenera do organizatora szkolenia lub hotelu;
  • wytwarzanie indywidualnych produktów medycznych, środków, protez, itd. dla pacjentów/ klientów na zlecenie lekarzy, dentystów, aptek, sklepów medycznych;
  • laboratoria medyczne, laboratoria materiałowe itd. (zlecenie badań materiałowych);
  • usługi płatnicze w przypadku płatności elektronicznych (przesyłanie danych płatniczych, kontrola prania pieniędzy oraz oszustw, zgodnie z wymogami niemieckiej ustawy o nadzorze finansowym oraz podstawowymi wymogami niemieckiego Federalnego Urzędu Nadzoru Usług Finansowych);
  • dostawcy usług, przy których pośredniczy biuro podróży, jak np. hotele, podmioty wynajmujące samochody, spółki lotnicze, operatorzy autobusów, ubezpieczenia, itd. (więcej informacji w przykładzie 8 w Opinii Grupy Roboczej WP169)

W zależności od konkretnego przypadku administrator, jeżeli zajdzie taka potrzeba, precyzuje cel oraz określa poufność w odniesieniu do przekazanych danych.

b) co do zasady nie dochodzi do zlecenia czynności przetwarzania danych osobowych lecz umowa dotyczy innych czynności:

  • rzemieślnik wynajęty przez osobę wynajmującą, który otrzymuje niezbędne dane najemcy;
  • rzeczoznawca oceniający szkody w samochodzie;
  • przewóz osób, usługi transportu chorych;
  • usługi ochrony;
  • usługi sprzątania oraz prace rzemieślników w przedsiębiorstwie;
  • czyszczenie strojów roboczych, mających plakietkę z nazwiskiem;
  • drukowanie prospektów, katalogów ze zdjęciami zatrudnionych lub fotomodelek;
  • transport wystarczająco wybrakowanych materiałów papierowych;
  • transport dokumentów oraz towarów przez kurierów, spółki spedycyjne, roznoszenie gazet;
  • tłumaczenie tekstów z lub na języki obce.

W zależności od konkretnego przypadku administrator, jeżeli zajdzie taka potrzeba, precyzuje cel oraz określa poufność w odniesieniu do przekazanych danych.

Przemysław Sierzputowski

 

 

 

Related Post