Powierzenie przetwarzania danych osobowych jest instytucją budzącą kontrowersje, a czasami wręcz spory pomiędzy przedsiębiorcami. W praktyce, bardzo często pojawiają się sytuacje, w których dwa współpracujące ze sobą podmioty nie mogą dojść do porozumienia na płaszczyźnie przetwarzania danych osobowych. Najczęściej jeden z podmiotów dąży do zawarcia umowy powierzenia przetwarzania danych osobowych, a drugi uparcie odmawia – uznając się za samodzielnego i odrębnego administratora.

Wraz z początkiem obowiązywania przepisów Rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO) został położony nacisk na właściwe unormowanie kwestii związanych z wymianą danych osobowych pomiędzy przedsiębiorcami.

Początkowo, administratorzy danych osobowych dążyli do zawierania umów powierzenia w każdym przypadku, gdy współpraca z innym podmiotem choćby minimalnie obejmowała przetwarzanie danych osobowych.

Obecna praktyka – słusznie – odchodzi od zawierania umów powierzenia za wszelką cenę. Należy bowiem, pamiętać, że w definicji przetwarzania danych osobowych, wskazanej w art. 4 pkt 2 Rozporządzenia, znajdziemy operacje polegające między innymi na ujawnianiu poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie danych osobowych.

Powierzenie przetwarzania danych osobowych jest szczególnym rodzajem przetwarzania tych danych przez administratora polegającym na udostępnieniu danych osobowych innemu podmiotowi. Nie każde jednak ujawnienie jest powierzeniem.

Natomiast w sytuacji, gdy pomiędzy podmiotami dochodzi do wymiany danych osobowych, ale pierwotny administrator tych danych nie ma wpływu na cele i sposoby przetwarzania danych (w szczególności nie może nakazać takiemu podmiotowi usunięcia, czy zwrócenia danych) wtedy nie ma przesłanek do uznania takiego udostępnienia za powierzenie, a podmiot trzeci staje się administratorem tych danych osobowych. Przykładem ujawnienia danych osobowych niebędącego ich powierzeniem jest skorzystanie przez przedsiębiorcę z usług Poczty Polskiej w celu wysłania korespondencji do klientów.

Kolejną istotną różnicą pomiędzy powierzeniem, a udostępnieniem danych osobowych są obowiązki spoczywające na podmiotach, które weszły w posiadanie danych. O ile, w przypadku ujawnienia danych osobowych podmiot, który wchodzi w posiadanie danych osobowych po prostu, staje się ich administratorem to w przypadku procesora, po pierwsze pojawia się obowiązek podpisania stosownej umowy pomiędzy administratorem danych osobowych, a podmiotem przetwarzającym. Co więcej, administrator powinien upewnić się, że wybrany przez niego podmiot przetwarzający daje gwarancje właściwej ochrony powierzonych mu danych. Po drugie zaś, procesor obowiązany jest prowadzić rejestr kategorii czynności przetwarzania.