IODO > Blog > Wpisy > Modele wymiany danych osobowych w praktyce biznesowej i administracyjnej

Modele wymiany danych osobowych w praktyce biznesowej i administracyjnej

21 stycznia, 2025

Dane osobowe stanowią dzisiaj jedną z najcenniejszych walut w świecie biznesu i administracji publicznej. Ich przetwarzanie i wymiana są nieodłącznym elementem codziennej działalności wielu organizacji: od sklepów internetowych, przez banki, po urzędy państwowe. Wraz z wejściem w życie unijnego Ogólnego Rozporządzenia o Ochronie Danych (RODO) wzrosła świadomość konieczności przestrzegania zasad bezpieczeństwa danych i ochrony prywatności osób, których dane dotyczą. Jednocześnie instytucje i firmy nadal potrzebują sprawnie wymieniać dane, aby osiągnąć swoje cele biznesowe lub wypełniać obowiązki prawne.

Poniżej omawiamy trzy główne modele, w których dochodzi do przekazywania danych osobowych w praktyce: powierzenie przetwarzania, udostępnienie między oddzielnymi administratorami oraz współadministracja. Każdy z tych modeli rodzi odmienne konsekwencje prawne i wymaga spełnienia określonych obowiązków.

1. Powierzenie przetwarzania danych osobowych

Powierzenie przetwarzania (często określane także jako „powierzenie danych”) ma miejsce, gdy jeden podmiot – administrator danych – zleca innemu podmiotowi – podmiotowi przetwarzającemu (procesorowi) – wykonywanie określonych czynności na danych osobowych w jego imieniu.

1.1. Przykłady i zastosowania

  • Firma zatrudniająca biuro rachunkowe do prowadzenia księgowości, gdzie w rachunkach znajdują się dane pracowników i kontrahentów.
  • Sklep internetowy korzystający z usług firmy hostingowej, która przechowuje dane klientów w ramach swojej infrastruktury serwerowej.
  • Agencja marketingowa zarządzająca kampaniami mailingowymi w imieniu zleceniodawcy (administratora).

1.2. Kluczowe zasady powierzenia przetwarzania

  1. Umowa powierzenia: RODO (w szczególności art. 28) wymaga zawarcia pisemnej (także elektronicznie) umowy pomiędzy administratorem a podmiotem przetwarzającym.
  2. Określenie celu i zakresu: W umowie należy zdefiniować, w jakim celu i zakresie przetwarzane są dane.
  3. Obowiązek zapewnienia bezpieczeństwa: Podmiot przetwarzający musi gwarantować odpowiednie środki techniczne i organizacyjne chroniące dane.
  4. Zasada podpowierzania: Jeśli procesor (podmiot przetwarzający) zamierza korzystać z usług kolejnego podmiotu (subprocesora), musi uzyskać zgodę administratora.

W powierzeniu kluczowe jest to, że podmiot przetwarzający działa wyłącznie w imieniu i na rzecz administratora danych, a cele i sposoby przetwarzania określa właśnie administrator. Procesor nie staje się samodzielnym administratorem tych danych.

2. Udostępnienie danych między oddzielnymi administratorami

Innym modelem współpracy jest udostępnienie danych przez jednego administratora innemu administratorowi. W tym przypadku każdy z podmiotów, który otrzymuje lub przekazuje dane, pozostaje niezależnym administratorem w odniesieniu do przetwarzanych przez siebie danych. Oznacza to, że każdy z nich decyduje samodzielnie o celach i środkach przetwarzania danych.

2.1. Przykłady i zastosowania

  • Bank przekazuje dane klienta do ubezpieczyciela w celach związanych z ofertą ubezpieczenia kredytu. Oba podmioty działają jako odrębni administratorzy i każdy z nich ma inny cel przetwarzania.
  • Sklep internetowy przekazuje dane dostawcy usług płatniczych, który korzysta z nich, aby zrealizować transakcję i obsługiwać własne procesy rozliczeniowe.
  • Firma handlowa udostępniająca dane klienta zewnętrznemu partnerowi biznesowemu, by ten mógł przedstawić własną ofertę (o ile istnieje podstawa prawna, np. zgoda klienta lub inne wskazane w RODO).

2.2. Warunki prawidłowego udostępnienia danych

  1. Podstawa prawna: Niezależnie od celu, administratorzy muszą dysponować odpowiednią podstawą prawną do udostępnienia i dalszego przetwarzania danych, np. zgodą osoby, której dane dotyczą, koniecznością wypełnienia obowiązku prawnego czy uzasadnionym interesem.
  2. Obowiązek informacyjny: Każdy administrator musi dopełnić obowiązku informacyjnego wobec osób, których dane dotyczą. Należy poinformować m.in. o odbiorcach danych, celach przetwarzania, prawach przysługujących osobom itd.
  3. Zasada minimalizacji danych: Przekazywać należy wyłącznie te dane, które są niezbędne do osiągnięcia celu przetwarzania.

W udostępnieniu danych kluczowe jest to, że żaden z podmiotów nie działa w imieniu drugiego – każdy ponosi własną odpowiedzialność jako administrator.

3. Współadministracja danych osobowych

Współadministracja (ang. joint controllership) występuje wtedy, gdy co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania danych osobowych. Podstawę prawną współadministracji można znaleźć w art. 26 RODO.

3.1. Przykłady i zastosowania

  • Dwie spółki należące do tej samej grupy kapitałowej prowadzą wspólną platformę e-commerce, używając tych samych baz klientów, z identycznymi celami marketingowymi i operacyjnymi.
  • Wspólny program lojalnościowy utworzony przez kilka podmiotów (np. linie lotnicze, sieć hoteli, wypożyczalnię samochodów), w którym każdy ze współadministratorów odpowiada za część procesu, ale wszyscy realizują wspólny cel marketingowy i zarządzają wspólną bazą klientów.
  • Organizatorzy konferencji, którzy wspólnie decydują o zebranych danych uczestników, wspólnie zarządzają listami rejestracyjnymi, a następnie razem wykorzystują dane w celach marketingowych.

3.2. Obowiązki współadministratorów

  1. Transparentne uzgodnienia: W ramach art. 26 RODO współadministratorzy muszą w przejrzysty sposób określić swoje zakresy odpowiedzialności, a następnie poinformować o tym osoby, których dane dotyczą.
  2. Podział obowiązków: W uzgodnieniu współadministratorzy często dzielą się zadaniami dotyczącymi m.in. rozpatrywania żądań osób, których dane dotyczą, obowiązków informacyjnych czy ewentualnych czynności związanych z naruszeniami danych.
  3. Odpowiedzialność solidarna: W relacjach z osobami fizycznymi każdy ze współadministratorów może ponosić odpowiedzialność za całość przetwarzania. Osoba, której prawa zostały naruszone, może zgłosić się do dowolnego z nich, a dopiero między sobą współadministratorzy rozliczają odpowiedzialność w ramach wewnętrznej umowy.

We współadministracji kluczowe jest to, że wszystkie strony mają wspólny cel i wspólnie decydują o procesach przetwarzania. To wymaga szczególnej transparentności i starannego podziału obowiązków, aby uniknąć chaosu i zapewnić osobom fizycznym jasne informacje o tym, kto i za co odpowiada.

4. Podsumowanie

Wymiana danych osobowych między różnymi podmiotami to nieunikniona część dzisiejszej gospodarki cyfrowej. Powierzenie przetwarzania będzie właściwym wyborem w sytuacji, gdy zlecamy innej firmie przetwarzanie danych w naszym imieniu, zachowując pozycję administratora. Udostępnienie między odrębnymi administratorami ma miejsce, gdy samodzielne podmioty, każdy z własnym celem, przekazują sobie dane w granicach dopuszczonych przez prawo. Współadministracja pojawia się wtedy, gdy co najmniej dwa podmioty wspólnie określają cele i sposoby przetwarzania, dzieląc między siebie obowiązki i odpowiedzialność.

Zarówno w biznesie, jak i w administracji publicznej, wybór właściwego modelu wymiany danych jest kluczowy dla zachowania zgodności z RODO oraz z polskimi przepisami o ochronie danych osobowych. Przydatne jest skonsultowanie się z inspektorem ochrony danych, aby precyzyjnie ustalić odpowiednie podstawy prawne i sporządzić niezbędne umowy lub uzgodnienia. Tylko wtedy można skutecznie minimalizować ryzyko naruszeń oraz konsekwentnie dbać o prawa i prywatność osób, których dane dotyczą.

Może Cię zainteresować