W procesie przetwarzania danych osobowych występują zasadniczo trzy kategorie podmiotów: (1) administrator danych osobowych, (2) podmiot przetwarzający dane na zlecenie administratora oraz (3) podmiot, którego dane są przetwarzane. Przepisy nakładają szereg obowiązków na podmioty przetwarzające dane i różnią się one w zależności od tego czy dany podmiot jest administratorem danych osobowych, czy też przetwarza dane na jego polecenie.
Administrator danych osobowych
Centralne miejsce wśród podmiotów dokonujących przetwarzania zajmuje administrator danych osobowych. To na nim ciąży główny obowiązek zadbania o bezpieczeństwo danych. RODO[1] definiuje administratora jako podmiot, który samodzielnie lub wspólnie z innymi decyduje o celach i sposobach przetwarzania danych.
Administrator projektuje cały proces przetwarzania danych osobowych. Od ustalenia celów – przyczyn, dla których dane potrzebne są mu do przetwarzania, po ustalenie podstaw przetwarzania, zakresu niezbędnych danych, wybór sposobów, w jaki dane będzie przetwarzać, po okres ich przetwarzania. Mówiąc kolokwialnie administrator jest tym podmiotem, który pełni nad przetwarzanymi danymi swojego rodzaju „władztwo”.
| Praktyczne przykłady: (1) przetwarzanie danych osobowych pracowników przez pracodawcę (pracodawca jest administratorem danych pracowników), (2) przetwarzanie danych osobowych klientów sklepu internetowego przez przedsiębiorcę (administratorem jest przedsiębiorca). |
W przypadku trudności z określeniem, czy dany podmiot jest rzeczywiście administratorem warto zadać sobie kilka pytań pomocniczych dotyczących jego cech. Przede wszystkim należy ustalić:
- czy rzeczywiście ten podmiot posiada względem danych decyzyjność,
- czy decyduje o celach przetwarzania danych,
- czy decyduje o istotnych sposobach przetwarzania, a także czy podejmuje decyzje w zakresie usuwania danych.
Dodatkowo w niektórych przypadkach to przepisy prawa mogą wskazywać na podmiot pełniący rolę administratora.
Warto również pamiętać, iż administratorami danych mogą być osoby prawne. Co za tym idzie w przypadku przetwarzania danych przez organizację to konkretna spółka, a nie osoby działające w jej imieniu (np. dyrektor czy członek zarządu) będzie administratorem danych.
Podmiot przetwarzający (procesor)
Zgodnie z RODO procesor to podmiot, który przetwarza dane w imieniu administratora. W powyższej definicji od razu widoczny jest aspekt niesamodzielności procesora. Przetwarzanie dokonywane jest w imieniu administratora i na jego zlecenie. Procesor może przetwarzać dane jedynie zgodnie z instrukcjami administratora. Co prawda może mu zostać przyznana pewna swoboda w decydowaniu o innych niż istotne sposobach przetwarzania (np. co do używanych systemów zabezpieczeń itp.) jednak nigdy nie wiąże się ona z decydowaniem o celach ani o istotnych sposobach przetwarzania danych.
Powyższe może być kojarzone z outsourcingiem pewnych obszarów działalności administratora. Jeżeli administrator mógłby w obszarze tym działać samodzielnie, ale zleca jego wykonanie innemu podmiotowi i wiąże się z tym także przetwarzanie danych osobowych, najpewniej podmiot wykonujący te działania będzie uznany za podmiot przetwarzający (procesora). Zazwyczaj dane powierzane są przez administratorów innym podmiotom, które specjalizują się w danej dziedzinie.
| Praktyczne przykłady: (1) świadczenie usług obsługi IT przedsiębiorstwa (administrator danych – podmiot zlecający, procesor – firma świadcząca usługi IT), (2) obsługa księgowa przedsiębiorstwa przez podmiot X (administrator danych – przedsiębiorstwo, procesor – podmiot X), (3) usługi chmurowe, w ramach których przechowywane są dane klienta (administrator danych – klient, procesor – dostawca usług chmurowych). |
Relacja pomiędzy administratorem a procesorem wymaga odzwierciedlenia w umowie powierzenia przetwarzania danych osobowych zawartej pomiędzy tymi podmiotami, która powinna spełniać wszelkie wymogi z art. 28 RODO.
Problem z ustaleniem relacji na linii administrator – procesor pojawia się głównie ze względu na złożoność relacji pomiędzy podmiotami gospodarczymi. Często podmioty współpracują ze sobą na tyle ściśle, że ciężko ustalić, który z nich decyduje o celach i sposobach przetwarzania. Relacja powierzenia powinna być badana pod kątem szeregu czynników faktycznych, gdyż to one a nie porozumienie stron decydują o pełnionej w procesie przetwarzania roli.
Więcej wskazówek w tym zakresie znaleźć można w wytycznych EROD 07/2020 dotyczących pojęć administratora i podmiotu przetwarzającego zawartych w RODO. W szczególności zachęcamy do stosowania w praktyce schematu zawartego w Załączniku nr I do ww. wytycznych.
Relacja niezależnych administratorów danych osobowych
Poza ustaleniem ról podmiotów w ramach procesu przetwarzania istnieje konieczność rozważenia również łączących ich relacji. Nie każde bowiem przekazanie danych do innego podmiotu związane jest z ich powierzeniem. Jedną z możliwych sytuacji jest także relacja niezależnych, odrębnych administratorów. Kwalifikacji takiej dokonamy, kiedy oba podmioty, które włączone są w proces przetwarzania, spełniają przesłanki do uznania ich za administratorów. Czyli każdy z tych podmiotów, mimo że przetwarzać będzie dane tych samych osób, posiadać będzie własne, niezależne podstawy przetwarzania danych, swoje własne cele ich przetwarzania i będzie władny decydować o bycie tych danych w odniesieniu do dokonywanego przez siebie przetwarzania.
| Praktyczny przykład: w przypadku świadczenia usług hotelarskich na rzecz klientów biura podróży, zarówno hotel, jak i biuro będą odrębnymi administratorami danych osobowych uczestników wycieczki. Hotel posiada bowiem swoje własne cele przetwarzania, polegające np. na wprowadzeniu gości do systemu rezerwacyjnego, świadczeniu usług hotelowych, zapewnieniu bezpieczeństwa, czy też ewentualnego dochodzenia roszczeń. W takiej sytuacji hotel nie przetwarza danych wyłącznie w celu wykonania czynności technicznych związanych z zawartą z biurem podróży umową i nie można przyjąć, że byłby zobowiązany do usunięcia takich danych po ustaniu takiego stosunku prawnego. |
Relacja niezależnych administratorów nie wymaga zawarcia umów ani porozumień. Każdy z administratorów zobowiązany jest do wypełniania obowiązków, które nakładają na niego przepisy prawa (w szczególności wynikających z RODO).
Współadministrowanie danymi osobowymi
Odmienna sytuacja wystąpi, gdy o celach i środkach przetwarzania, w porozumieniu decydować będzie kilka podmiotów. Jednocześnie każdy z tych podmiotów spełniać będzie przesłanki do uznania go za administratora. Takim podmiotom przypiszemy rolę współadministratorów danych osobowych.
| Przykłady praktyczne: wspólnicy spółki cywilnej – jako że w przypadku spółki cywilnej przedsiębiorcą nie jest sama spółka, lecz jej wspólnicy – ich role w procesie przetwarzania danych osobowych charakteryzowane będą jako współadministrowanie danymi osobowymi. |
Podmioty współadministrujące danymi osobowymi, zgodnie z art. 26 RODO, zobowiązane są do dokonania wspólnych uzgodnień i ustalenia zakresów swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO, jak i relacji pomiędzy nimi a podmiotami, których dane dotyczą.
Podsumowanie
- kwalifikacja roli danego podmiotu przysporzyć może wątpliwości. Dość często, wielopłaszczyznowe relacje biznesowe przekładają się także na dość skomplikowane relacje związane z przetwarzaniem danych osobowych,
- konsekwencją błędnego przypisania ról jest niespełnianie wymogów nałożonych przepisami prawa – tj. niewypełnianie odpowiednich obowiązków przypisanych do danej roli. Przyjęcie błędnej roli podmiotu każdorazowo będzie się także wiązać z niezagwarantowaniem praw przysługujących osobom, których dane dotyczą,
- role w danej relacji mają charakter faktyczny i nie mogą być zmieniane poprzez ustalenia stron. Niemniej jednak często to analiza postanowień umowy może pomóc w ustaleniu rzeczywistych relacji pomiędzy stronami.
Jeżeli prawidłowe określenie ról w dokonywanych procesach przetwarzania dalej sprawia Państwu trudność – zapraszamy do kontaktu. Nasi eksperci, specjalizujący się w obszarze ochrony danych osobowych rozwieją Państwa wątpliwości.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE