Kim jest “administrator” i “podmiot przetwarzający”

Autor: Malgorzata Cwynar pod red. Marcina Soczko — w kategorii Komunikaty IOD-y — 6 lipca 2024

06

lip
2024

W lipcu „edukacyjny” odcinek newsletteru jest poświęcony kolejnym istotnym pojęciom, które zostały przez prawodawcę unijnego zdefiniowane w art. 4 RODO. Tym razem przybliżone zostaną dwie kolejne definicje, tj. „administrator” i „podmiot przetwarzający”, które dotyczą podmiotów odgrywających kluczowe role w procesie przetwarzania danych osobowych.

DEFINICJA „ADMINISTRATORA”

Postać „administratora” odgrywa największą rolę w procesach przetwarzania danych. Zgodnie z art. 4 pkt. 7 RODO „administrator” oznacza „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania”.

W powyższej definicji wynika, że dla zakwalifikowania danego podmiotu jako „administratora”, kluczowe jest stwierdzenie, czy decyduje o celu i sposobach przetwarzania danych. Ustalenie, kto pełni rolę „administratora”, ma znaczenie priorytetowe, ponieważ to właśnie na nim spoczywa większość obowiązków wynikających z przepisów RODO. Zdarza się bowiem, że we wzajemnych relacjach między podmiotami błędnie określa się, który z nich jest lub nie jest „administratorem” (ADO).

KTO MOŻE BYĆ „ADMINISTRATOREM”

Zgodnie z analizowanym przepisem administratorem może być osoba fizyczna, prawna, organ publiczny lub inny podmiot. Osoba fizyczna jest administratorem zazwyczaj, gdy prowadzi jednoosobową działalność gospodarczą, w ramach której przetwarza dane osobowe. Należy jednak pamiętać, że również osoba prywatna może w pewnych sytuacjach stać się administratorem, np. gdy zechce wykorzystać nagranie z monitoringu lub wideorejestratora do dochodzenia swoich roszczeń.

Innym przykładem, kiedy osoba fizyczna pełni rolę administratora jest przetwarzanie danych przez spółkę cywilną. Wówczas funkcję ADO pełnią jej wspólnicy. W przypadku osób prawnych (np. spółek prawa handlowego) administratorem jest sam podmiot. Administratorem nie są natomiast organy uprawnione do jego reprezentowania (np. Prezes Zarządu).

Administratorem może być też organ publiczny, jeżeli z przepisów prawa wynika, że decyduje on o celach i sposobach przetwarzania danych. Jak podkreśla dr P. Litwiński powołując się na dr hab. G. Sibigę „Administratorem danych osobowych jest zawsze sam organ administracji, nie zaś obsługujący go urząd” (P. Litwiński [w:] Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, 2021). W związku z tym w przypadku m.in. jednostek samorządu terytorialnego mamy do czynienia z wielością administratorów. Omawiając to na przykładzie gminy, organem zatrudniającym pracowników – ich pracodawcą, a więc i administratorem w zakresie ich danych osobowych – jest organ wykonawczy gminy, czyli wójt.  Administratorem może być także rada gminy w zakresie danych, jakie przetwarza do realizacji swoich zadań, np. w związku z rozpatrywaniem skarg i wniosków.

DEFINICJA „PODMIOTU PRZETWARZAJĄCEGO”

Kolejnym podmiotem, który odgrywa istotną rolę w procesach przetwarzania danych jest „podmiot przetwarzający” (określany również jako procesor). Zgodnie z art. 4 pkt. 8 RODO „podmiot przetwarzający” oznacza „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora”.

Jak wynika z powyższej definicji kluczową cechą podmiotu przetwarzającego jest to, że dokonuje on czynności przetwarzania „w imieniu administratora”. Oznacza to, że sam nie decyduje o celu i sposobach przetwarzania, lecz realizuje czynności wyznaczone mu przez administratora. W praktyce przetwarzanie danych przez podmiot przetwarzający odbywa się poprzez realizację określonych usług na rzecz administratora danych.

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Procesor przetwarza dane na podstawie zawartej z administratorem umowy powierzenia przetwarzania danych osobowych. Kwestia ta zostanie przybliżona w jednym z późniejszych odcinków newsletteru, który będzie poświęcony art. 28 RODO.

Zawarcie umowy powierzenia przetwarzania jest naturalnym następstwem korzystania z wielu usług outsourcingowych, gdzie przetwarzanie danych osobowych stanowi nieodzowną ich część. Przykładami takich usług może być m.in. zewnętrzna obsługa księgowa, czy też wsparcie z zakresu IT.

KTO MOŻE BYĆ „POMIOTEM PRZETWARZAJĄCYM”

Krąg podmiotów, które mogą być uznane za procesorów jest równie rozległy, jak w przypadku administratorów danych. Mogą nimi być zarówno osoby fizyczne lub prawne, organy publiczne lub inne podmioty. Podmiot przetwarzający dysponuje własnymi środkami przetwarzania poza organizacją administratora i – zgodnie z zapisami umowy powierzenia przetwarzania – jest odpowiedzialny za ich właściwe zabezpieczenie.

Podmiotem przetwarzającym nie są osoby fizyczne, które przetwarzają dane z polecenia administratora (np. pracownicy, zleceniobiorcy, stażyści, czy inne osoby zatrudnione przez administratora niezależnie od formy zatrudnienia). Osoby te przetwarzają dane osobowe na podstawie i w zakresie udzielonego im przez administratora upoważnienia oraz w ramach jego struktury organizacyjnej i przy wykorzystaniu udostępnionych im narzędzi przetwarzania danych.

INNY PODMIOT PRZETWARZAJĄCY

W praktyce dość często zdarza się, że podmiot przetwarzający powierza przetwarzanie danych innemu procesorowi. Wynika to często ze współpracy z innymi podmiotami (podwykonawcami), które również przetwarzają przekazane przez administratora dane osobowe. Podmioty te, mimo że nie zostały osobno zdefiniowane w art. 4 RODO, mieszczą się w definicji „podmiotu przetwarzającego”. Jest o nich mowa w art. 28 RODO, w których określane są mianem „innych podmiotów przetwarzających”.

W praktyce nazywane są również dalszymi podmiotami przetwarzającymi lub podprocesorami. Przetwarzanie danych osobowych przez te podmioty w dalszym ciągu odbywa się w imieniu administratora, a nie w imieniu pierwotnego podmiotu przetwarzającego.

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.