logo-LexDigital
logo-LexDigital
RODO

Powierzenie a udostępnienie danych osobowych

Zespół LexDigital
Zespół LexDigital
31.10.2022
Powierzenie a udostępnienie danych osobowych

Zdefiniowanie relacji pomiędzy podmiotami może być skomplikowane. W przypadku, gdy takie ustalenia nie są zgodne ze stanem faktycznym, mogą rodzić konsekwencje i odpowiedzialność za naruszenie RODO, ale również – negatywnie wpływać na poziom ochrony prywatności osób, których dane są przetwarzane.

W tym artykule dowiesz się o:

  • kategoriach podmiotów uprawnionych do przetwarzania danych osobowych;
  • rodzajach relacji oraz różnicach między powierzeniem a udostępnieniem;
  • cechach relacji: Administrator – Administrator, Administrator – Podmiot przetwarzający.

Zobaczysz także przykłady relacji: Administrator – Administrator, Administrator – Podmiot przetwarzający, by na pewno móc zdefiniować relacje podmiotów przetwarzających prawidłowo.

kategorie podmiotów danych, przetwarzanie danych osobowych, udostępnianie danych

Kategorie podmiotów uprawnionych do przetwarzania danych osobowych

Zgodnie z przepisami ogólnego rozporządzenia o ochronie danych (RODO) organizacja może przetwarzać dane osobowe, jako jeden z dwóch kategorii podmiotów tj.

  1. Administrator (art. 4 pkt. 7 RODO) – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; lub
  2. Podmiot przetwarzający (art. 4 pkt. 8 RODO) – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

RODO nie przewiduje innej kategorii podmiotów uprawnionych do przetwarzania danych osobowych. Jednak w definicji „administratora” w art. 4 pkt 7 RODO wyodrębniona została podgrupa podmiotów, z których każdy z osobna będąc administratorem wspólnie z innymi ustala cele i sposoby przetwarzania danych jako współadministrator. Pojęcie to zostało rozwinięte w art. 26 RODO. Współadministratorzy to zatem co najmniej dwóch administratorów wspólnie ustalających cele i sposoby przetwarzania danych osobowych.

Jak wynika z definicji zawartych w RODO, istotną kwestią jest określenie celów oraz sposobów przetwarzania. Co należy rozumieć pod tymi pojęciami?

  • Cele przetwarzania – określony rezultat, do którego się zmierza, realizacja zaplanowanego zamierzenia.
  • Sposoby przetwarzania – sposób w jaki odbywa się przetwarzanie danych, za pomocą jakich środków technicznych (własnych czy cudzych, samodzielnie czy z udziałem podmiotu zewnętrznego, gdzie są przechowywane dane, w jaki sposób, w jakim terminie są usuwane, sprzęt techniczny, z którego się korzysta, stosowane zabezpieczenia). Ustalenie przez administratora sposobów przetwarzania obejmuje zatem zarówno kwestie techniczne, jak i organizacyjne.

Dane osobowe: Kompletny przewodnik po RODO na 2025 rok

Ustalenie ról w procesie przetwarzania danych osobowych

Określenie administratora w danym procesie przetwarzania danych jest kluczowe dla wskazania podmiotu odpowiedzialnego za zgodność przetwarzania danych osobowych z prawem, w tym za:

  • realizację wynikających z nich zasad,
  • wprowadzenie należytych zabezpieczeń oraz
  • zapewnienie wykonywania uprawnień osób, których dane dotyczą. 

Zgodnie z wytycznymi Grupy Roboczej Art. 29 w opinii 1/2010 w sprawie pojęć „administrator danych” i „podmiot przetwarzający”, które w tym zakresie pozostają aktualne, w celu określenia statusu danego podmiotu powinno stosować się podejście funkcjonalne. To znaczy należy dokonać analizy całokształtu okoliczności przetwarzania danych, w szczególności należy wziąć pod uwagę następujące czynniki:

  1. który podmiot lub podmioty faktycznie decydują o tym, po co przetwarzane są dane osobowe (tj. do czego są one potrzebne i wykorzystywane),
  2. który podmiot lub podmioty faktycznie decydują o sposobie wykorzystywania danych, o formie ich pozyskiwania, ich treści i zakresie, o ich przechowywaniu, ujawnianiu oraz o środkach technicznych i organizacyjnych, przy użyciu których odbywa się przetwarzanie.
    rodzaje relacji, administrator danych osobowych, dane osobowe

Rodzaje relacji oraz różnice między powierzeniem, a udostępnieniem

Po ustaleniu statusu poszczególnych podmiotów, biorących udział w procesie przetwarzania, należy określić relację zachodzącą pomiędzy tymi podmiotami, która może kształtować się w następujący sposób:

  • Administrator – Administrator (udostępnienie danych osobowych);
  • Administrator – Podmiot przetwarzający;
  • Współadministrator – Współadministrator.

W zależności od relacji podmiotu z dostawcami usług/współpracownikami, a dotyczących przetwarzania danych osobowych należy podjąć decyzję o powierzeniu przetwarzania danych osobowych lub o udostępnieniu danych podmiotom współpracującym z daną organizacją.

NIS2 – sprawdź nowe wymagania dla firm

Powierzenie a udostępnienie

Różnica pomiędzy tymi dwoma formami przetwarzania danych osobowych sprowadza się do tego, kto decyduje o celach i środkach przetwarzania danych osobowych:

  • procesor/podmiot przetwarzający (podmiot, któremu powierza się dane do przetwarzania) zawsze przetwarza dane w ramach celu określonego przez administratora. Np. biuro księgowe przetwarza dane osobowe pracowników administratora dla potrzeb realizacji stosunku pracy, istniejącego pomiędzy administratorem, a jego pracownikami.
  • podmiot, któremu udostępnia się dane sam decyduje o celach ich przetwarzania. W momencie udostępnienia, administrator przestaje już decydować o celach i sposobach przetwarzania danych, ponieważ jest już do tego uprawniony podmiot, który te dane odebrał.

Należy pamiętać, że administrator może powierzyć przetwarzanie danych innym podmiotom, z zastrzeżeniem, że podmioty te:

  • wdrożyły odpowiednie środki techniczne i organizacyjne, służące ochronie danych oraz spełniają one wymogi ogólnego rozporządzenia o ochronie danych (art. 28 RODO);
  • dysponują wiedzą fachową, są wiarygodne i dysponują adekwatnymi zasobami służącymi bezpieczeństwu przetwarzania (motyw 81 preambuły do RODO);
  • są uprawnione do przetwarzania danych wyłącznie w zakresie celów i sposobów przetwarzania określonych przez Administratora w umowie.

    Więcej na temat wyboru i weryfikacji podmiotów przetwarzających oraz umowy powierzenia przetwarzania danych opisaliśmy w artykule Audyt podmiotu przetwarzającego.

    database schema, data tables, schema

 Administrator – Administrator (udostępnienie danych osobowych)

Charakterystyczne cechy relacji, w której występuje dwóch administratorów, czyli sytuacji, w której mamy do czynienia z udostępnieniem danych to:

  • każdy z podmiotów samodzielnie wyznacza cele i sposoby przetwarzania danych osobowych;
  • bardzo często działalność każdego z podmiotów regulowana jest odrębnymi przepisami prawa (przepisami sektorowymi);
  • na każdym z administratorów spoczywa obowiązek ochrony danych osobowych i archiwizowania danych;
  • przekazanie danych odbywa się na zasadzie udostępnienia – nie ma konieczności zawierania umowy;
  • każdy administrator spełnia obowiązek informacyjny wobec osób, od których pobiera dane;
  • każdy administrator realizuje prawa osób wskazane w art. 15-22 RODO;
  • każdy administrator realizuje inne obowiązki względem osób, których dane przetwarza, wynikające z przepisów prawa;
  • każdy z administratorów ponosi odpowiedzialność w momencie wystąpienia naruszenia prywatności.

Rejestr czynności przetwarzania – przykład

Administrator – Podmiot przetwarzający (powierzenie przetwarzania danych osobowych)

 Najważniejsze cechy relacji, polegającej na powierzeniu przetwarzania danych osobowych to:

  • podmiot przetwarzający działa na zlecenie administratora, wykonując zadania mu nałożone na mocy umowy głównej;
  • z powierzeniem mamy do czynienia, kiedy administrator mógłby wykonać dane czynności sam, ale nie ma do tego np. zaplecza technologicznego lub zasobów ludzkich i w związku z tym zleca je na zewnątrz;
  • podmiot przetwarzający nie spełnia obowiązku informacyjnego (art. 13 i 14 RODO);
  • podmiot przetwarzający wspomaga, ale sam nie realizuje żądań osób wynikających z art. 15-22 RODO;
  • podmiot przetwarzający odpowiada za naruszenia do rzeczywistego własnego zawinienia.
    przykłady relacji, relacje, relacyjność

Przykłady relacji: Administrator – Administrator, Administrator – Podmiot przetwarzający

Administrator – Administrator (udostępnienie danych osobowych)

Relacja, w której będziemy mieli do czynienia z dwoma odrębnymi administratorami, będzie występowała zwykle w następujących sytuacjach:

a) przy korzystaniu z usług zewnętrznych ze strony samodzielnego administratora:

  • agencje rekrutacyjne na zlecenie osoby szukającej pracy lub pracodawcy;
  • w przypadku zawodów objętych tajemnicą zawodową (doradca podatkowy, adwokat, zewnętrzny lekarz medycyny pracy);
  • w przypadku transferu pieniędzy przez instytucje bankowe;
  • usługi płatnicze w przypadku płatności elektronicznych (przesyłanie danych płatniczych, kontrola prania pieniędzy oraz oszustw);
  • w przypadku usług kurierskich/pocztowych dostarczania listów lub paczek;
  • producenci oraz hurtownie, które otrzymują od sprzedawców detalicznych adresy ich klientów, w związku z uzgodnioną z tymi klientami bezpośrednią wysyłką (zlecenie wysyłki towarów);
  • podmioty wysyłające prezenty np. kwiaty, który otrzymują listę adresów do wysyłki do osób trzecich (zlecenie wysyłki towarów);
  • dostawcy platformy internetowej w celu pośredniczenia pomiędzy sprzedawcąa konsumentem, którzy mogą się spotkać na platformie;
  • usługi telekomunikacyjne, chyba że dochodzą do nich usługi towarzyszące takie jak archiwizacja telefonów służbowych czy usuwanie danych z chmury, itd.
  • pośrednicy ubezpieczeniowi/ finansowi; pośrednicy w ramach umów z klientami;
  • przedstawiciele handlowi w ramach doradztwa oraz pośrednictwa;
  • przesłanie danych uczestnika szkolenia, w celu przeprowadzenia szkolenia przez zewnętrznego trenera do organizatora szkolenia lub hotelu;
  • laboratoria medyczne, laboratoria materiałowe itd. (zlecenie badań materiałowych);
  • dostawcy usług, przy których pośredniczy biuro podróży, jak np. hotele, podmioty wynajmujące samochody, spółki lotnicze, operatorzy autobusów, ubezpieczenia, itd.;
  • tłumaczenie tekstów z lub na języki obce.
    relacje między podmiotami, data, data security

Administrator – Podmiot przetwarzający (powierzenie przetwarzania danych osobowych)

Przykłady relacji administrator – podmiot przetwarzający:

  • Współpraca z podmiotem realizującym działania windykacyjne,
  • Współpraca z przedsiębiorstwem rekrutacyjnym, które zamieszcza ogłoszenie o pracę i prowadzi rekrutację w imieniu pracodawcy,
  • Skorzystanie z usług firmy zewnętrznej, zajmującej się przechowywaniem danych (np. archiwum, usługi chmurowe) lub ich usuwaniem (firma utylizująca dokumenty i nośniki),
  • Powierzenie księgowości firmy biuru rachunkowemu,
  • Skorzystanie z usług firmy ochroniarskiej,
  • Współpraca z podmiotem serwisującym sprzęt do monitoringu wizyjnego,
  • Zlecenie kampanii wysyłki newsletterów agencji marketingowej,
  • Korzystanie z zewnętrznej obsługi BHP w zakresie obsługi wypadków,
  • Przeprowadzanie przez agencję reklamową konkursów na zlecenie Spółki,
  • Współpraca z firmą hostingową.
    powierzenie przetwarzania, przetwarzanie, processing

Podsumowanie

Pojęcia powierzenia i udostępnienia danych osobowych, należy przede wszystkim rozumieć w podejściu funkcjonalnym, nie zaś formalnym. Przypisanie ról poszczególnym podmiotom, uczestniczącym w procesie przetwarzania danych osobowych, wymaga ustalenia: który z nich decyduje o celach i sposobach przetwarzania danych osobowych, biorąc pod uwagę zakres uprawnień i obowiązków tych podmiotów w konkretnej relacji. Ustalenia podmiotów co do ich relacji w sferze przetwarzania danych osobowych, które nie odzwierciedlają stanu faktycznego, nie tylko mogą rodzić konsekwencje i odpowiedzialność za naruszenie RODO, ale przede wszystkim mogą negatywnie wpływać na gwarantowany poziom ochrony osób fizycznych, których dane są przetwarzane.

Nierzadko mamy również do czynienia z sytuacjami, gdzie w ramach jednej relacji każdy z podmiotów może występować w różnych rolach (np. zarówno jako administrator, jak i podmiot przetwarzający). Dlatego tak ważne jest, aby każde przekazanie danych osobowych poddać szczegółowej analizie. Jest to bowiem niezbędne dla zapewnienia zgodności z RODO.

Sprawdź także:

Dane osobowe wrażliwe, a dane osobowe zwykłe

Udostępnianie danych osobowych bez zgody

Incydenty i naruszenia ochrony danych osobowych w dni wolne od pracy i święta

Czy imię i nazwisko to dane osobowe?

Cyberbezpieczeństwo
Co to jest ransomware? Jak chronić się przed atakiem?

Co to jest ransomware? Jak chronić się przed atakiem?

Maciej Pawlak 09.01.2026
Inspektor Ochrony Danych
UODO kontroluje niezależność IODO – sprawdź wytyczne i uniknij kar!

UODO kontroluje niezależność IODO – sprawdź wytyczne i uniknij kar!

Włodzimierz Dola 29.08.2025

Umów bezpłatną konsultację

Napisz, w czym możemy ci pomóc, a my skontaktujemy się z Tobą w ciągu 24 godzin.
Kontakt
Pierwszy taki newsletter o ochronie danych i cyberbezpieczeństwie.
Co miesiąc dawka wiedzy od naszych ekspertów.

Administratorem Twoich danych osobowych jest LexDigital spółka z ograniczoną odpowiedzialnością z siedzibą w Poznaniu, ul Grodziska 8, 60-363 Poznań. Dane osobowe przetwarzane będą w celu wysyłania informacji handlowych, w szczególności newslettera. Pełną informację o przetwarzaniu danych osobowych znajdziesz w naszej Polityce prywatności.