W lipcu „edukacyjny” odcinek newsletteru jest poświęcony kolejnym istotnym pojęciom, które zostały przez prawodawcę unijnego zdefiniowane w art. 4 RODO. Tym razem przybliżone zostaną dwie kolejne definicje, tj. „administrator” i „podmiot przetwarzający”, które dotyczą podmiotów odgrywających kluczowe role w procesie przetwarzania danych osobowych.
DEFINICJA „ADMINISTRATORA”
Postać „administratora” odgrywa największą rolę w procesach przetwarzania danych. Zgodnie z art. 4 pkt. 7 RODO „administrator” oznacza „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania”.
W powyższej definicji wynika, że dla zakwalifikowania danego podmiotu jako „administratora”, kluczowe jest stwierdzenie, czy decyduje o celu i sposobach przetwarzania danych. Ustalenie, kto pełni rolę „administratora”, ma znaczenie priorytetowe, ponieważ to właśnie na nim spoczywa większość obowiązków wynikających z przepisów RODO. Zdarza się bowiem, że we wzajemnych relacjach między podmiotami błędnie określa się, który z nich jest lub nie jest „administratorem” (ADO).
KTO MOŻE BYĆ „ADMINISTRATOREM”
Zgodnie z analizowanym przepisem administratorem może być osoba fizyczna, prawna, organ publiczny lub inny podmiot. Osoba fizyczna jest administratorem zazwyczaj, gdy prowadzi jednoosobową działalność gospodarczą, w ramach której przetwarza dane osobowe. Należy jednak pamiętać, że również osoba prywatna może w pewnych sytuacjach stać się administratorem, np. gdy zechce wykorzystać nagranie z monitoringu lub wideorejestratora do dochodzenia swoich roszczeń.
Innym przykładem, kiedy osoba fizyczna pełni rolę administratora jest przetwarzanie danych przez spółkę cywilną. Wówczas funkcję ADO pełnią jej wspólnicy. W przypadku osób prawnych (np. spółek prawa handlowego) administratorem jest sam podmiot. Administratorem nie są natomiast organy uprawnione do jego reprezentowania (np. Prezes Zarządu).
Administratorem może być też organ publiczny, jeżeli z przepisów prawa wynika, że decyduje on o celach i sposobach przetwarzania danych. Jak podkreśla dr P. Litwiński powołując się na dr hab. G. Sibigę „Administratorem danych osobowych jest zawsze sam organ administracji, nie zaś obsługujący go urząd” (P. Litwiński [w:] Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, 2021). W związku z tym w przypadku m.in. jednostek samorządu terytorialnego mamy do czynienia z wielością administratorów. Omawiając to na przykładzie gminy, organem zatrudniającym pracowników – ich pracodawcą, a więc i administratorem w zakresie ich danych osobowych – jest organ wykonawczy gminy, czyli wójt. Administratorem może być także rada gminy w zakresie danych, jakie przetwarza do realizacji swoich zadań, np. w związku z rozpatrywaniem skarg i wniosków.
DEFINICJA „PODMIOTU PRZETWARZAJĄCEGO”
Kolejnym podmiotem, który odgrywa istotną rolę w procesach przetwarzania danych jest „podmiot przetwarzający” (określany również jako procesor). Zgodnie z art. 4 pkt. 8 RODO „podmiot przetwarzający” oznacza „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora”.
Jak wynika z powyższej definicji kluczową cechą podmiotu przetwarzającego jest to, że dokonuje on czynności przetwarzania „w imieniu administratora”. Oznacza to, że sam nie decyduje o celu i sposobach przetwarzania, lecz realizuje czynności wyznaczone mu przez administratora. W praktyce przetwarzanie danych przez podmiot przetwarzający odbywa się poprzez realizację określonych usług na rzecz administratora danych.
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Procesor przetwarza dane na podstawie zawartej z administratorem umowy powierzenia przetwarzania danych osobowych. Kwestia ta zostanie przybliżona w jednym z późniejszych odcinków newsletteru, który będzie poświęcony art. 28 RODO.
Zawarcie umowy powierzenia przetwarzania jest naturalnym następstwem korzystania z wielu usług outsourcingowych, gdzie przetwarzanie danych osobowych stanowi nieodzowną ich część. Przykładami takich usług może być m.in. zewnętrzna obsługa księgowa, czy też wsparcie z zakresu IT.
KTO MOŻE BYĆ „POMIOTEM PRZETWARZAJĄCYM”
Krąg podmiotów, które mogą być uznane za procesorów jest równie rozległy, jak w przypadku administratorów danych. Mogą nimi być zarówno osoby fizyczne lub prawne, organy publiczne lub inne podmioty. Podmiot przetwarzający dysponuje własnymi środkami przetwarzania poza organizacją administratora i – zgodnie z zapisami umowy powierzenia przetwarzania – jest odpowiedzialny za ich właściwe zabezpieczenie.
Podmiotem przetwarzającym nie są osoby fizyczne, które przetwarzają dane z polecenia administratora (np. pracownicy, zleceniobiorcy, stażyści, czy inne osoby zatrudnione przez administratora niezależnie od formy zatrudnienia). Osoby te przetwarzają dane osobowe na podstawie i w zakresie udzielonego im przez administratora upoważnienia oraz w ramach jego struktury organizacyjnej i przy wykorzystaniu udostępnionych im narzędzi przetwarzania danych.
INNY PODMIOT PRZETWARZAJĄCY
W praktyce dość często zdarza się, że podmiot przetwarzający powierza przetwarzanie danych innemu procesorowi. Wynika to często ze współpracy z innymi podmiotami (podwykonawcami), które również przetwarzają przekazane przez administratora dane osobowe. Podmioty te, mimo że nie zostały osobno zdefiniowane w art. 4 RODO, mieszczą się w definicji „podmiotu przetwarzającego”. Jest o nich mowa w art. 28 RODO, w których określane są mianem „innych podmiotów przetwarzających”.
W praktyce nazywane są również dalszymi podmiotami przetwarzającymi lub podprocesorami. Przetwarzanie danych osobowych przez te podmioty w dalszym ciągu odbywa się w imieniu administratora, a nie w imieniu pierwotnego podmiotu przetwarzającego.