Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Powierzenie przetwarzania danych wrażliwych w rodo

05-12-2017 Autor: Jakub Rzymowski

Powierzenie przetwarzania danych osobowych jest w dzisiejszej rzeczywistości technicznej i organizacyjnej zjawiskiem częstym i normalnym. Powierza się przetwarzanie danych osobowych w kontekście usług chmurowych, outsourcingu usług informatycznych, outsourcingu innych usług.

 

Powierza się przetwarzanie zwykłych danych osobowych i wrażliwych danych osobowych. Temu ostatniemu poświęcony jest niniejszy artykuł.

Dane wrażliwe w  rodo

Unijny prawodawca w art. 9 rodo definiuje pojęcie „szczególnych kategorii danych osobowych”, czyli danych tradycyjnie jeszcze na gruncie dyrektywy 95/46/WE nazywanych danymi wrażliwymi. Definicja ta jest skonstruowana analogicznie do definicji znajdującej się w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: uodo). Kategorie danych, które należą do danych wrażliwych, są po prostu wymienione w przepisie. Należy zwrócić uwagę na fakt, że katalog kategorii danych wrażliwych, wymienionych w art. 27 ust. 1 uodo, różni się od katalogu kategorii danych, wymienionych w art. 9 rodo.

Dane wrażliwe w rodo to zatem dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych.

To także dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby fizycznej oraz dane genetyczne i dane biometryczne, o ile są używane do jednoznacznego zidentyfikowania osoby fizycznej.

Dopuszczalność powierzenia przetwarzania danych wrażliwych

Powierzenie przetwarzania danych osobowych uregulowane jest w art. 28 rodo. Z przepisu nie wynika, czy dotyczy on powierzenia przetwarzania wrażliwych danych osobowych czy danych osobowych zwykłych. Wnioskujemy z tego, że art. 28 rodo dotyczy przetwarzania wszystkich kategorii danych osobowych. W art. 4 pkt 8 rodo zdefiniowano podmiot przetwarzający, czyli podmiot, który przetwarza dane osobowe w imieniu administratora. Takim podmiotem może być osoba fizyczna lub prawna, organ publiczny, a także jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Przede wszystkim należy zwrócić uwagę na fakt, że powierzenie przetwarzania wrażliwych danych osobowych jest zgodne z rodo. Zakaz przetwarzania wrażliwych danych osobowych zawarty w art. 9 ust. 1 rodo nie dotyczy powierzenia przetwarzania takich danych. Zakaz dotyczy przetwarzania danych wrażliwych, czyli zgodnie z art. 4 pkt 2 rodo czynności wykonywanych na danych osobowych. Powierzenie przetwarzania danych osobowych to, zgodnie z art. 28 ust. 3 rodo, umowa lub inny instrument prawny, a skoro tak, to zakaz dotyczący czynności wykonywanych na danych nie dotyczy umów wykonywania tych czynności (zob. J. Rzymowski, Powierzenie przetwarzania osobowych danych medycznych, [w:] Powierzenie przetwarzania osobowych danych medycznych i inne problemy współczesnego prawa medycznego, red. n. M. Królikowska-Olczak, Łódź 2013).

Powierzenie przetwarzania danych wrażliwych nie różni się od powierzenia przetwarzania danych zwykłych.


Umowa powierzenia przetwarzania danych osobowych, co wynika z art. 28 ust. 9 rodo, powinna być zawarta na papierze i podpisana lub zawarta w formie dokumentu elektronicznego – podpisana podpisem elektronicznym kwalifikowanym.

Podpowierzenie przetwarzania danych wrażliwych

Kolejna sprawa, o której należy pamiętać, to problem podpowierzenia przetwarzania danych wrażliwych. Podpowierzenie, zgodnie z art. 28 ust. 2 rodo, jest dopuszczalne, o ile pisemną zgodę wyrazi na nie administrator danych osobowych (dalej: ADO). Ta zgoda musi mieć charakter uprzedni wobec podpowierzenia, czyli musi być zawarta wcześniej, niż dojdzie do podpowierzenia. Zgoda taka może być oczywiście częścią umowy powierzenia.

Zjawisko podpowierzenia zachodzi często w przypadku umów o hosting. Bywa tak, że przedsiębiorstwo, które oferuje usługę hostingu, samo nie jest właścicielem serwerów, na których fizycznie znajdują się hostowane dane, a jest jedynie pośrednikiem. W takiej sytuacji ADO powierza przetwarzanie danych osobowych takiemu pośrednikowi, ten zaś podpowierza przetwarzanie danych właścicielowi serwerów.

[...]

Autor jest doktorem nauk prawnych, adiunktem w Katedrze Europejskiego Prawa Gospodarczego Wydziału Prawa i Administracji Uniwersytetu Łódzkiego. Współpracuje z kancelarią adwokacką – Eurokancelaria prof. Maria Królikowska-Olczak.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

 

______________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.