Administrator, współadministrator i procesor

Rodo WarszawaW Roz­po­rzą­dze­niu Par­la­men­tu Euro­pej­skie­go i Rady (UE) 2016/679, zna­nym rów­nież jako RODO usta­wo­daw­ca euro­pej­ski wpro­wa­dził defi­ni­cję kil­ku pod­mio­tów, któ­re bio­rą czyn­ny udział w prze­twa­rza­niu danych oso­bo­wych. Poni­żej wyja­śni­my, kie­dy przed­się­bior­ca uzna­ny będzie w świe­tle RODO za admi­ni­stra­to­ra danych oso­bo­wych, kie­dy będzie współ­ad­mi­ni­stra­to­rem, a kie­dy przy­słu­gi­wać mu będzie przy­miot procesora.

Administrator 

Zgod­nie z defi­ni­cją zawar­tą w RODO za admi­ni­stra­to­ra uzna­je się pod­miot, któ­ry usta­la cele oraz spo­so­by prze­twa­rza­nia danych oso­bo­wych przez sie­bie posiadanych. 

Admi­ni­stra­to­rem może być:

  1. oso­ba fizyczna;
  2. oso­ba praw­na (np. spół­ka z ogra­ni­czo­ną odpo­wie­dzial­no­ścią, spół­ka akcyjna);
  3. organ publicz­ny (np. urząd gmi­ny, urząd skarbowy);
  4. jed­nost­ka lub inny pod­miot (np. spół­ka jaw­na, spół­ka partnerska).

Zatem to sam pod­miot, na przy­kład spół­ka pra­wa han­dlo­we­go, jest admi­ni­stra­to­rem danych oso­bo­wych, a nie orga­ny go repre­zen­tu­ją­ce (np. zarząd spółki).

Ani w Roz­po­rzą­dze­niu ani w inny­mi akcie praw­nym nie zosta­ło dopre­cy­zo­wa­ne, co rozu­mieć nale­ży pod poję­ciem — „usta­la­nie celów oraz spo­so­bów prze­twa­rza­nia danych oso­bo­wych”. To, czy dany pod­miot jest admi­ni­stra­to­rem będzie zatem uza­leż­nio­ne od kon­kret­nej sytu­acji. W dużym uprosz­cze­niu za admi­ni­stra­to­ra będzie uwa­ża­na oso­ba (lub inny pod­miot), któ­ra decy­du­je o celach i środ­kach prze­twa­rza­nia danych osobowych. 

I tak za admi­ni­stra­to­ra uznać moż­na m. in.:

  1. przed­się­bior­cę dys­po­nu­ją­ce­go dany­mi oso­bo­wy­mi swo­ich klientów;
  2. spół­kę pra­wa han­dlo­we­go posia­da­ją­cą dane oso­bo­we swo­ich pracowników;
  3. sto­wa­rzy­sze­nie dys­po­nu­ją­ce dany­mi swo­ich człon­ków itp.

Podstawowe obowiązki administratora danych osobowych

Do pod­sta­wo­wych obo­wiąz­ków admi­ni­stra­to­ra danych oso­bo­wych nale­żą m. in.:

  1. wdra­ża­nie odpo­wied­nich środ­ków tech­nicz­nych i orga­ni­za­cyj­nych celem prze­twa­rza­nia danych oso­bo­wych przez sie­bie posia­da­nych zgod­nie z prze­pi­sa­mi RODO;
  2. wdra­ża­nie odpo­wied­nich środ­ków tech­nicz­nych i orga­ni­za­cyj­nych celem wpro­wa­dze­nia nie­zbęd­nych zabez­pie­czeń ochro­ny danych osobowych;
  3. powo­ła­nie inspek­to­ra ochro­ny danych osobowych;
  4. wyko­ny­wa­nie praw osób, któ­rych dane doty­czą – na ich żądanie;
  5. pro­wa­dze­nie reje­stru czyn­no­ści prze­twa­rza­nia danych osobowych;
  6. prze­pro­wa­dze­nie ana­li­zy ryzy­ka naru­sze­nia danych osobowych;
  7. współ­dzia­ła­nie z orga­nem nad­zor­czym – Pre­ze­sem Urzę­du Ochro­ny Danych Oso­bo­wych, a w tym infor­mo­wa­ne o naru­sze­niu ochro­ny danych osobowych.

Współadministrator

Za współ­ad­mi­ni­stra­to­ra uzna­je się pod­miot, któ­ry usta­la cele i spo­so­by prze­twa­rza­nia danych oso­bo­wych wspól­nie z innym pod­mio­tem (lub inny­mi pod­mio­ta­mi) – np. wspól­ni­cy spół­ek cywil­nych, dzia­ła­ją­cy wspól­nie w ramach zało­żo­nej przez nich spółki.

Współ­ad­mi­ni­stra­to­rzy okre­śla­ją zakres swo­jej odpo­wie­dzial­no­ści doty­czą­cej wypeł­nia­nia obo­wiąz­ków wyni­ka­ją­cych z prze­pi­sów RODO (patrz powyżej).

Procesor

Pro­ce­so­rem jest oso­ba fizycz­na lub praw­na, organ publicz­ny lub inny pod­miot, któ­ry prze­twa­rza dane oso­bo­we w imie­niu admi­ni­stra­to­ra (np. usłu­gi w zakre­sie księ­go­wo­ści świad­czo­ne przez pod­miot zewnętrz­ny na rzecz przed­się­bior­cy).
Prze­pi­sy Roz­po­rzą­dze­nia wyma­ga­ją, aby admi­ni­stra­tor korzy­stał wyłącz­nie z usług takich pro­ce­so­rów, któ­rzy zapew­nia­ją wystar­cza­ją­ce gwa­ran­cje wdro­że­nia odpo­wied­nich środ­ków tech­nicz­nych i orga­ni­za­cyj­nych celem ochro­ny danych oso­bo­wych osób, któ­re są przez nich przetwarzane.

Prze­twa­rza­nie przez pro­ce­so­ra danych oso­bo­wych odby­wa się na pod­sta­wie umo­wy zawar­tej pomię­dzy nim a admi­ni­stra­to­rem bądź na pod­sta­wie inne­go instru­men­tu praw­ne­go, prze­wi­dzia­ne­go przez prze­pi­sy pra­wa Unii Euro­pej­skiej bądź prze­pi­sy pań­stwa człon­kow­skie­go (w tym m in. prze­pi­sy obo­wią­zu­ją­ce w Rzecz­po­spo­li­tej Polskiej).

Podstawowe obowiązki procesora

Pro­ce­sor w szczególności:

  1. prze­twa­rza dane oso­bo­we wyłącz­nie na udo­ku­men­to­wa­ne pole­ce­nie administratora;
  2. odpo­wia­da za to, aby oso­by upo­waż­nio­ne przez nie­go do prze­twa­rza­nia danych oso­bo­wych zobo­wią­za­ły się do zacho­wa­nia tajemnicy;
  3. poma­ga admi­ni­stra­to­ro­wi wywią­zać się z jego obo­wiąz­ków wyni­ka­ją­cych z prze­pi­sów RODO;
  4. pro­wa­dzi rejestr kate­go­rii czyn­no­ści prze­twa­rza­nia doko­ny­wa­nych w imie­niu administratora.

Podsumowanie

Pod­su­mo­wu­jąc, wska­zać nale­ży, iż admi­ni­stra­tor oraz współ­ad­mi­ni­stra­tor są głów­ny­mi pod­mio­ta­mi, któ­re prze­twa­rza­ją dane oso­bo­we przez sie­bie posia­da­ne w ramach usta­lo­nych celów i spo­so­bów ich prze­twa­rza­nia. Są to rów­nież pod­mio­ty, któ­re pono­szą peł­ną odpo­wie­dzial­ność za dane przez sie­bie zbie­ra­ne, posia­da­ne oraz w jaki­kol­wiek inny spo­sób prze­twa­rza­ne w ramach pro­wa­dzo­nej dzia­łal­no­ści gospo­dar­czej czy zawodowej. 

Ina­czej jest z pro­ce­so­ra­mi, któ­rzy nie są pod­mio­ta­mi samo­dziel­ny­mi w zakre­sie prze­twa­rza­nia danych oso­bo­wych im powie­rzo­nych. Odpo­wia­da­ją oni przed admi­ni­stra­to­ra­mi za każ­dą czyn­ność doko­ny­wa­ną na danych oso­bo­wych, co czy­ni pod­mio­ty te zależ­ny­mi od pole­ceń administratora.

Powrót do spe­cja­li­za­cji — Szko­le­nie i audyt RODO