Pojęcia administratora danych i podmiotu przetwarzającego są jednymi z najważniejszych w RODO. Ustalenie „kto jest kim” jest punktem wyjścia do jakichkolwiek działań w obszarze ochrony danych osobowych. Warto więc te pojęcia przybliżyć bo bez ich rozróżnienia nie da się zbudować prawidłowego systemu ochrony danych.
Zgodnie z definicją zawartą w art. 4 pkt. 7 RODO „administrator” (co ciekawe RODO posługuje się pojęciem „administrator” a nie „administrator danych”) oznacza „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych”.
Administrator danych osobowych (ADO) to zatem ta strona, która decyduje jakie dane będą przetwarzane, w jakim celu oraz w jaki sposób (np. papierowo, w systemach IT, z jakimi zabezpieczeniami).
Podmiot przetwarzający (zwany też „procesorem”) to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe na zlecenie administratora. W praktyce przetwarzanie danych przez ten podmiot sprowadza się do wykonywania czynności usługowych na rzecz administratora danych. Relacje pomiędzy tymi stronami formalizuje umowa powierzenia danych osobowych. Brak zawarcia takiej umowy jest naruszeniem RODO i prowadzi do kar pieniężnych.
Należy odróżnić podmiot przetwarzający od osób, które przetwarzają dane z jego upoważnienia lub administratora. Zwykle są to pracownicy zatrudnieni przy przetwarzaniu danych, praktykanci dopuszczeni do czynności przetwarzania itp. Są to jednak osoby fizyczne, a nie osoby prawne i inne jednostki organizacyjne.
Kolejnym aspektem, który ważny jest w związku z realizacją obowiązków z RODO, jest ustalenie czy w danej sytuacji mamy do czynienia z relacją Administrator-Administrator czy też relacją Administrator-Procesor. Jak już wskazywano, ten drugi stosunek musi być sformalizowany umową powierzenia. Przy powiązaniu ADO-ADO nie ma obowiązku zawarcia umowy udostępnienia danych osobowych. W ramach tej relacji dany administrator pozyskuje dane osobowe od drugiego i następnie samodzielnie decyduje o celach i sposobach przetwarzania pozyskanych danych osobowych. Jednym z zasadniczych czynników odróżniających administratora od procesora w danej relacji jest fakt, że administrator przetwarza dane osobowe we własnym imieniu i dla własnych celów, natomiast procesor przetwarza dane osobowe w imieniu administratora, przykładowo jeżeli w relacji dwóch podmiotów oba z nich przetwarzają dane osobowe we własnym imieniu i mają własne cele mamy do czynienia z relacją ADO-ADO, natomiast jeżeli mamy sytuację w której jeden z podmiotów przetwarza dane w imieniu drugiego będzie to relacja administrator – procesor.
Zadaj pytanie ekspertowi
Masz pytanie związane z RODO i potrzebujesz porady?
Świetnie trafiłeś! Od 18 lat zapewniamy wsparcie w zakresie ochrony danych osobowych.
