Porozumienie dotyczące udostepnienia danych

Porozumienie dotyczące udostępnienia danych

Porozumienie dotyczące udostępnienia danych to dokument, który porządkuje zasady przekazywania danych osobowych między podmiotami w sytuacji, gdy nie dochodzi do powierzenia przetwarzania. Oznacza to, że podmiot otrzymujący dane nie działa jako podmiot przetwarzający w imieniu administratora, lecz staje się odrębnym administratorem i wykorzystuje dane we własnych celach oraz na własną odpowiedzialność. Z tego względu udostępnienie danych wymaga innego podejścia niż umowa powierzenia i powinno być odpowiednio ujęte w dokumentacji RODO.

➡️ Porozumienie jest szczególnie przydatne w relacjach, w których strony współpracują operacyjnie, wymieniają informacje o klientach, uczestnikach, beneficjentach lub pracownikach, a każda z nich realizuje własne cele przetwarzania. Należy podkreślić, że „porozumienie” nie jest odrębną instytucją prawną przewidzianą w RODO, lecz formą kontraktowego uregulowania zasad udostępniania danych między administratorami. Może przybrać postać odrębnej umowy, aneksu do umowy głównej, odpowiednich postanowień w umowie o współpracy albo – w określonych przypadkach – umowy o współadministrowaniu danymi, jeżeli strony wspólnie ustalają cele i sposoby przetwarzania. Dobrze przygotowany dokument ogranicza ryzyko nieuprawnionego przekazania danych oraz ułatwia wykazanie zgodności w razie audytu lub kontroli.

Ważne: udostępnienie danych nie oznacza dowolności w ich przekazywaniu. Administrator musi posiadać właściwą podstawę prawną przetwarzania, zapewnić zgodność z zasadą minimalizacji oraz spełnić obowiązek informacyjny wobec osób, których dane dotyczą.

Umów się na bezpłatną konsultację z ekspertem RODO!

☎️ 22 53 53 016

✉️ biuro@directgroup.com.pl

Kiedy stosuje się porozumienie dotyczące udostępnienia danych?

Porozumienie dotyczące udostępnienia danych znajduje zastosowanie wtedy, gdy:

dane osobowe są przekazywane innemu podmiotowi, który działa jako odrębny administrator,
odbiorca nie przetwarza danych na polecenie administratora, lecz działa samodzielnie,
strony realizują odrębne cele przetwarzania, nawet jeśli współpraca dotyczy jednej usługi lub projektu,
przekazanie danych ma charakter powtarzalny lub obejmuje stałą współpracę.

Przykładowe sytuacje, w których zasadne jest kontraktowe uregulowanie zasad udostępniania danych:

współpraca firm w modelu partnerskim, gdy obie strony obsługują tego samego klienta,
wspólne projekty (np. szkoleniowe, eventowe, badawcze) z udziałem kilku organizacji,
współpraca fundacji, stowarzyszeń i instytucji w projektach społecznych, w których dochodzi do wymiany danych uczestników,
udostępnienie danych do instytucji uprawnionych lub do kontrahentów, którzy działają jako niezależni administratorzy.

W przypadku udostępnienia danych do instytucji uprawnionych na podstawie przepisów prawa, kluczowa jest podstawa prawna przekazania - odrębne porozumienie nie zawsze jest konieczne.

➡️ W każdym przypadku dokument regulujący współpracę nie zastępuje analizy ról oraz ustalenia podstawy prawnej przekazania.

Udostępnienie danych a role w RODO

Aby poprawnie udokumentować przekazanie danych, należy najpierw ustalić role stron. Najczęściej występują dwa scenariusze:

Administrator → odrębny administrator
Drugi podmiot samodzielnie decyduje o celach i sposobach przetwarzania i działa jako niezależny administrator. W takiej sytuacji strony powinny uregulować zasady przekazywania danych w umowie lub odrębnym porozumieniu, dostosowanym do charakteru współpracy.
Administrator → podmiot przetwarzający
Podmiot przetwarzający wykonuje czynności wyłącznie w imieniu administratora i na jego udokumentowane polecenie, nie decydując samodzielnie o celach ani sposobach przetwarzania. W takiej relacji właściwa jest umowa powierzenia przetwarzania danych osobowych.

Błędna kwalifikacja relacji jest częstym źródłem niezgodności. ➡️ Jeśli dokumenty są niewłaściwie dobrane, organizacja może mieć trudność z wykazaniem zgodności z RODO oraz z opisaniem transferów w rejestrze czynności przetwarzania.

Co powinno zawierać porozumienie dotyczące udostępnienia danych?

Porozumienie powinno jasno określać zasady, na jakich dochodzi do przekazania danych osobowych między stronami. W praktyce obejmuje:

określenie stron i ich ról w przetwarzaniu danych (np. odrębni administratorzy),
wskazanie zakresu przekazywanych danych oraz kategorii danych osobowych,
informację, czy przekazywane są szczególne kategorie danych,
określenie celów udostępnienia oraz podstawy prawna przekazania,
wskazanie kategorii osób, których dane dotyczą,
zasady minimalizacji i ograniczenia dostępu do danych,
zasady dalszego udostępniania (jeżeli jest dopuszczalne),
zasady przechowywania danych oraz terminy ich usuwania,
wymagania dotyczące środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych (np. kontrola dostępu, rejestrowanie operacji, szyfrowanie),
sposób postępowania w przypadku naruszenia ochrony danych,
zasady współpracy przy realizacji praw osób, których dane dotyczą,
zasady kontaktu i komunikacji między stronami.

Porozumienie powinno być spójne z wewnętrzną dokumentacją oraz z rejestrem czynności przetwarzania, tak aby organizacja mogła wykazać, że przekazanie danych odbywa się w sposób świadomy, zgodny z prawem i kontrolowany.

Porozumienie a obowiązek informacyjny

Jeżeli dochodzi do udostępnienia danych, administrator powinien uwzględnić tę okoliczność w treści obowiązku informacyjnego. Osoby, których dane dotyczą, powinny otrzymać jasne informacje m.in. o:

kategoriach odbiorców danych lub konkretnych odbiorcach,
celu udostępnienia i podstawie prawnej,
okresie przechowywania danych osobowych,
przysługujących im prawach,
ewentualnym przekazaniu danych do państw trzecich lub do organizacji międzynarodowej, jeżeli występuje.

W praktyce nieprecyzyjne wskazanie odbiorców danych naraża organizację na zarzut braku przejrzystości. Dlatego porozumienie powinno wspierać kompletność i spójność komunikacji, kierowanej do osób, których dane dotyczą.

Najczęstsze błędy przy udostępnianiu danych

W organizacjach najczęściej występują problemy takie jak:

brak dokumentu regulującego zasady przekazywania danych, mimo stałej współpracy,
mylenie udostępnienia z powierzeniem i stosowanie niewłaściwej umowy,
brak jednoznacznie określonego celu udostępnienia,
przekazywanie zbyt szerokiego zakresu danych osobowych,
brak uzgodnionych zasad retencji i usuwania danych,
brak wymagań bezpieczeństwa po stronie drugiego administratora danych,
pominięcie udostępnienia w rejestrze czynności przetwarzania,
niespójność z obowiązkiem informacyjnym.

Ważne: porozumienie nie zwalnia stron z odpowiedzialności za zgodność z RODO. Ma uorządkować zasady współpracy i ograniczać ryzyko błędów w przekazywaniu danych.

Co możemy wykonać dla Twojej organizacji?

W Direct Group porządkujemy obszar udostępniania danych osobowych w ramach wdrożenia RODO.
➡️ W zależności od potrzeb możemy:

przeanalizować przypadki przekazywania danych i zakwalifikować role stron,
wskazać, gdzie właściwe jest porozumienie dotyczące udostępnienia danych, a gdzie umowa powierzenia,
przygotować projekt porozumienia dopasowany do realnych procesów i zakresu danych,
uzupełnić dokumentację oraz rejestr czynności przetwarzania o informacje o odbiorcach,
zweryfikować treści obowiązku informacyjnego,
ocenić wymagania bezpieczeństwa i zaproponować adekwatne środki,
opracować zasady postępowania w razie naruszenia ochrony danych.
wprowadzić obsługę zewnętrznego Inspektora Ochrony Danych
przeprowadzić audyt RODO, i konieczne wdrożenie RODO w firmie

Uporządkuj udostępnianie danych i ogranicz ryzyko

Jeżeli Twoja organizacja udostępnia dane osobowe kontrahentom lub partnerom, warto zadbać o właściwą dokumentację i jasne zasady współpracy.

Skontaktuj się z nami, a przygotujemy porozumienie dopasowane do Twoich procesów oraz zadbamy o spójność z dokumentacją RODO, rejestrem czynności przetwarzania i obowiązkiem informacyjnym. Dzięki temu przekazanie danych osobowych będzie uporządkowane, zgodne z przepisami i bezpieczne w praktyce.