Każda organizacja jako podmiot administrujący danymi osobowymi może występować w poszczególnych procesach w następujących rolach: jako administrator, współadministrator oraz jako podmiot przetwarzający.
Odpowiednia kwalifikacja podmiotowa jest podstawowym zadaniem na początkowym etapie wdrożenia RODO w organizacji i gwarancją prawidłowego przetwarzania danych, a przede wszystkim spełnienia obowiązków w zakresie ochrony danych osobowych zgodnych z RODO m.in. w stosunku do podmiotu danych oraz organu nadzorczego.
Dlatego wielokrotnie podmioty administrujące danymi zadają pytanie:
Czy w danym procesie występuję jako administrator, podmiot przetwarzający czy jako współadministrator? Co, o tym decyduje?
Poniżej przedstawię podstawowe cechy administratora i podmiotu przetwarzającego wraz z praktycznymi przykładami.
Administrator zgodnie z art. 4 pkt. 7 RODO oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Administrator to więc podmiot, który w sposób faktyczny decyduje o celach i sposobach przetwarzania danych osobowych czyli ustala: kto, w jaki sposób oraz w jakim zakresie będzie przetwarzał dane.
Bardzo często administratorem jest podmiot, który swoje zadanie do wykonania ma określone w przepisie prawa, takim przykładem jest pracodawca w stosunku do swoich pracowników, gdzie zadania w zakresie zarządzania pracownikami zawiera Kodeks pracy.
Istnieje także sytuacja, gdy administrator zostanie wprost wyznaczony w przepisie prawa np. ustawa z dnia 23 lipca 2021 r. o kasach zapomogowo-pożyczkowych, gdzie art. 43 ust. 7 wprost definiuje: „Administratorem danych osobowych jest KZP”
Podmiot, który jest administratorem, posiada następujące obowiązki:
- Przestrzeganie zasad ochrony danych osobowych
- Prowadzenie rejestru czynności przetwarzania
- Realizacja praw jednostki
- Zapewnienie bezpieczeństwa danych osobowych, który odpowiada ryzyku naruszenia praw i wolności osób, których dane dotyczą
- Nadanie upoważnień do przetwarzania danych osobowych oraz przeszkolenia pracowników/współpracowników
- Zawarcie umowy powierzenia danych, gdy powierza dane innemu podmiotowi
- Współpraca z organem nadzorczym
- Zgłaszanie naruszeń ochrony danych organowi nadzorczemu
- W sytuacji gdy jest to wymagane przeprowadzanie szczegółowej oceny skutków dla ochrony danych
- Zadbanie o „projektowanie prywatności” i domyślną prywatność (minimalizację przetwarzania),
- Przetwarzanie danych na podstawie jednej z podstaw określonych w art. 6, 9 oraz 10 RODO
Podmiot przetwarzający zgodnie z art. 4 pkt. 8 RODO oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Występowanie podmiotu przetwarzającego w całości zależy od decyzji administratora, który to decyduje, czy proces związany z przetwarzaniem danych osobowych nastąpi przez pracownika wewnątrz organizacji, czy jednak przekaże to zadanie innemu odrębnemu podmiotowi.
Warunkiem posiadania statusu podmiotu przetwarzającego jest więc wykonywanie czynności w imieniu innego administratora danych przez odrębny prawnie podmiot.
Przykładem, gdzie organizacja występuje w roli podmiotu przetwarzające to:
- biuro rachunkowe, przetwarzając dane osobowe podczas wykonywania zlecenie prowadzenia księgowości i sprawozdawczości finansowej w imieniu innego podmiotu
- dostawca usług informatycznych np. przetwarzając dane w związku z zleceniem administrowania siecią, administrowania oprogramowaniem, hostingiem
- dostawca usług archiwizacyjnych przetwarzając dane w związku z archiwizacją dokumentów
Gwarancje podmiotu przetwarzającego ….
Administrator podczas wyboru podmiotu przetwarzającego powinien dobierać takich podwykonawców, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Wielokrotnie jednak występuje sytuacja, że podmiot przetwarzający posiada w ramach swojej działalności większe doświadczenie i wiedzę w danej dziedzinie, dlatego może on sugerować administratorowi dobór określonych narzędzi i rozwiązań podczas wykonywania powierzonych zadań.
Podmiot, który jest podmiotem przetwarzającym posiada następujące obowiązki:
- Wynikające z rozporządzenia RODO
- zapewnienie stosowania środków technicznych i organizacyjnych
- prowadzenie rejestru kategorii czynności przetwarzania
- udostępnianie powyższego rejestru organowi nadzorczemu
- zgłaszanie naruszeń administratorowi
- wyznaczenie IOD
- pozostałe czynności określone w art. 28 RODO
- Wynikające z umowy powierzenia danych osobowych pomiędzy administratorem
z podmiotem przetwarzającym, w szczególności: - zapewnienie zastosowania środków technicznych i organizacyjnych
- nadawanie upoważnień do przetwarzania danych osobowych
- zgłaszanie naruszeń administratorowi
- pozostałe obowiązki określone w umowie powierzenia pomiędzy stronami
Pomimo pewnych prawidłowości, które pomagają określić role podmiotu w przetwarzaniu danych osobowych, zawsze każda sytuacja powinna zostać rozpatrzona indywidualnie w oparciu o faktyczne relacje pomiędzy podmiotami.
Więcej informacji w zakresie definicji administratora i podmiotu przetwarzającego są zawarte w Wytycznych 7/2020 w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO. Wytyczne dostępne są na stronie UODO (język angielskim), https://uodo.gov.pl/pl/414/1714